Rappelez-vous :
Depuis la mise en œuvre en 2022, de la nouvelle procédure de sanction simplifiée au sein de la CNIL, le président de la formation restreinte a le pouvoir de prendre des décisions de manière autonome et est habilité à prononcer trois types de mesures :
- Un rappel à l’ordre
- Une injonction assortie d’une astreinte ne pouvant excéder 100 euros par jour de retard à compter de la date fixée par la décision
- Une amende administrative ne pouvant excéder un montant de 20 000 €
Pour être invoquée, cette procédure simplifiée nécessite la réunion de 2 critères :
- Le président de la CNIL doit estimer que les mesures prévues au titre de cette procédure constituent la réponse appropriée à la gravité des faits.
Et
- L’affaire ne doit pas présenter de difficulté particulière, notamment lorsqu’elle s’inscrit dans le cadre d’une jurisprudence déjà établie ou du fait de la simplicité des questions de fait et de droit qu’elle soulève.
Ainsi, la CNIL a dernièrement rendu dix nouvelles décisions dans le cadre de sa procédure de sanction simplifiée, pour un montant total de 97.000€ d’amendes.
Les principaux manquements constatés :
- Non-respect de l’obligation légale de répondre aux demandes de la CNIL.
- Non-respect du principe de minimisation des données (notamment dans le cadre de dispositif de géolocalisation, ou encore de vidéosurveillance continue et permanente des salariés).
- Non-respect de l’obligation d’informer les personnes concernées sur le traitement et ses finalités (devoir d’information et principe de transparence).
- Non-respect des droits des personnes concernées (demandes d’opposition majoritairement).
