La CNIL souhaite sanctionner davantage via la nouvelle procédure qui fluidifie et simplifie son action répressive.
La nouvelle loi sur la responsabilité pénale et la sécurité intérieure a été publiée au journal officiel le 24 janvier 2022.
Le texte modifie la loi Informatique et Libertés et prévoit une procédure dite simplifiée, permettant au président de la formation restreinte de la CNIL de trancher des dossiers de moindre importance. C’est le signe que la CNIL souhaite pouvoir sanctionner des défauts de conformité quelle que soit la taille et la structure de l’organisation concernée (start-up, PME, associations).
Pour pouvoir être mise en œuvre, cette procédure doit répondre à deux critères :
- Les mesures doivent constituer une réponse appropriée à la gravité des faits;
- L’affaire ne doit pas présenter de difficulté particulière (simplicité de la question ou l’inscription de l’affaire dans une jurisprudence établie).
Le président de la formation restreinte de la CNIL peut alors statuer seul et adopter trois types de mesures :
- Un rappel à l’ordre ;
- Une injonction sous-astreinte de 100 euros maximum par jour ;
- Une amende administrative de 20 000 euros maximum.