Réforme de la procédure devant l’autorité française de protection des données | Hogan Lovells

Les 24 janvier et 8 avril 2022, l’action devant l’Autorité française de protection des données (« CNIL”) dans le but d’améliorer la réponse au nombre croissant de réclamations reçues par la CNIL chaque année.

Ces changements ont été mis en œuvre par la loi No. 2022-52 du 24 janvier 2022 et Décret n° 2022-517 du 8 avril 2022 modifiés respectivement Loi Informatique et Libertés (« Loi française sur la protection des données« ) et le décret d’exécution de ladite loi (« )Décret exécutif« ).

Les procédures de sanctions devant la CNIL sont menées par une instance spécifique au sein de la CNIL appelée Commission Restreinte (article 9 de la loi Informatique et Libertés). En cas de violation par le responsable de traitement, le sous-traitant RGPD ou la loi informatique et libertés, le responsable de la CNIL (qui ne peut pas siéger en commission restreinte) peut décider en privé de saisir la commission restreinte (il peut également émettre des mises en demeure au contrôleur ou à l’assistant, voir paragraphe 3 ci-dessous). La commission restreinte statue alors sur la base d’un rapport établi par le rapporteur (chargé d’instruire l’affaire), et après un débat contradictoire au cours duquel l’observateur ou le sous-traitant est appelé à présenter ses observations, décide s’il y a lieu de prononcer des sanctions (article 16 de la loi Informatique et Libertés).

Les principales modifications apportées aux procédures devant la CNIL sont décrites ci-après.

Nouvelles procédures devant la CNIL

Le président de la commission restreinte peut désormais prononcer des injonctions de communication d’informations à la CNIL sous peine d’une astreinte journalière pouvant aller jusqu’à 100 euros.

Lorsqu’un dossier est soumis à la commission restreinte (par exemple, une procédure de sanctions a été lancée), son responsable peut émettre une injonction de signaler l’information à la CNIL, si le responsable du traitement ou le sous-traitant ne répond pas à une mise en demeure préalable. Cette injonction peut être assortie d’une amende pouvant aller jusqu’à 100 euros par jour de retard, exécutée le cas échéant par le chef de la commission restrictive (article 20, 4° de la loi Informatique et Libertés).

Cette nouvelle injonction ne peut intervenir qu’après le déroulement d’une procédure contradictoire selon les modalités suivantes : le rapporteur rédige un rapport, l’observateur ou le sous-traitant dispose d’un délai de 15 jours pour répondre, et le président de la commission restreinte rend ensuite une injonction sur ce fondement. Aucune audience n’a eu lieu.

En cas d’injonction, le responsable du traitement ou le sous-traitant doit fournir une preuve de conformité démontrant que les documents demandés ont été dûment présentés. En cas d’exécution tardive ou d’inexécution totale ou partielle, le chef de la commission restrictive peut appliquer la peine journalière (article 47-1 du décret exécutif modifié).

Les affaires mineures peuvent être traitées par le biais d’une procédure pénale simplifiée avec des pouvoirs pénaux limités.

Le président de la CNIL peut, sous certaines conditions, engager une procédure simplifiée dans laquelle le président de la commission restrictive (ou un membre de la commission restreinte désigné pour la présente proposition) statue seul sur l’affaire (article 22.1 de la loi Informatique et Libertés) .

Les conditions d’ouverture des procédures simplifiées sont :

• L’affaire ne présente pas de difficulté particulière (soit en raison d’un précédent existant, soit parce que les questions factuelles et juridiques en jeu sont simples), et

• Des pouvoirs de sanctions limités (voir ci-dessous) sont une réponse appropriée à une violation.

Les pouvoirs de sanctions limitées qui peuvent être prononcés dans les procédures simplifiées sont :

• avertissement officiel,

• Une injonction de se conformer au Règlement Général sur la Protection des Données ou à la loi française sur la protection des données avec une éventuelle astreinte pouvant aller jusqu’à 100 €, et/ou

• Une amende administrative pouvant aller jusqu’à 20 000 euros.

Le président de la commission restreinte peut refuser d’engager des procédures simplifiées, auquel cas les procédures reviendront aux procédures normales. Si le président de la commission restreinte ne refuse pas d’engager des procédures simplifiées, il juge sur la base d’un rapport auquel le responsable du traitement ou le sous-traitant peut répondre. Les procédures simplifiées suivront une procédure similaire aux procédures normales (c’est-à-dire les mêmes délais, les mêmes procédures contradictoires) (articles 45-1 et 45-2 du décret exécutif).

Les décisions du président de la commission restreinte prises en procédure simplifiée ne sont pas publiques.

Réforme des procédures normales de sanctions

Renforcement des pouvoirs du rapporteur.

Lors d’une procédure de sanctions, le rapporteur peut désormais demander explicitement des pièces ou des informations au responsable du traitement ou au sous-traitant et peut demander aux services de la CNIL de mener des investigations complémentaires. Dans la pratique, ces pouvoirs étaient déjà en place mais pas spécifiquement stipulés dans le décret exécutif.

Si le rapporteur décide de mettre fin à la procédure de sanction, il doit désormais en informer explicitement le responsable du traitement ou le sous-traitant concerné (article 39 du décret exécutif).

Le rapporteur peut également être assisté de certaines parties externes qualifiées (par exemple des juges, des fonctionnaires, d’autres experts, etc.) à condition qu’elles n’aient pas de conflit d’intérêts (article 41 de la

décret exécutif).

Les délais d’échange de notes dans le cadre de la procédure de sanctions ont été prolongés.

Le nombre d’échanges entre le cours et le contrôleur ou le sous-traitant n’est plus limité à deux tours. Cela signifie que le rapporteur est libre de décider du nombre de brefs échanges nécessaires avant que l’affaire ne soit prête à être entendue. De plus, le délai pour répondre aux rapports de cours a été étendu à un mois dans tous les scénarios (auparavant, il était limité à 15 jours pour le second tour). Le président de la commission restreinte peut désormais convenir de prolonger ces délais au-delà d’un mois à la demande du responsable du traitement ou du sous-traitant (auparavant, les prolongations ne pouvaient excéder un mois).

Une fois la phase contradictoire de la procédure close, le président de la commission restreinte doit programmer l’audition devant la commission au moins 15 jours à l’avance (auparavant, c’était au moins un mois avant) (article 40 du décret d’application).

Les experts peuvent désormais assister à l’audition devant la commission restreinte.

Le contrôleur ou le thérapeute peut désormais inviter les experts à venir entendre l’audience (en plus de son conseiller externe) (article 42 de l’ordonnance exécutive).

Pouvoirs supplémentaires accordés au président de la CNIL

La présidente de la CNIL dispose d’une plus grande souplesse lorsqu’elle procède à des notifications officielles.

Le responsable de la CNIL peut désormais fixer le délai qu’il juge opportun pour qu’un responsable du traitement ou un sous-traitant se conforme à une mise en demeure, et ce délai peut être renouvelé une fois (auparavant, le délai ne pouvait excéder 6 mois, renouvelable une fois) ( article 38 du décret exécutif). Le délai minimum de 10 jours imparti pour se mettre en conformité est maintenu, sauf urgence.

Le responsable de la CNIL peut clore une procédure de mise en demeure sans justification de la conformité par le responsable du traitement ou le sous-traitant (alors que la justification préalable de la conformité a toujours été obligatoire). Dans ce cas, la conformité peut être réexaminée ultérieurement (des mois ou des années plus tard), éventuellement dans le cadre des nouvelles procédures. Si le responsable de la CNIL demande une preuve de conformité dans un certain délai, elle peut imposer un délai de 24 heures pour la fourniture de ladite preuve en cas d’urgence (article 20, 2 de la loi Informatique et Libertés).

Le chef de la CNIL peut désormais décider de rappeler simplement aux responsables du traitement ou aux sous-traitants leurs obligations légales.

En cas de violation du règlement général sur la protection des données (RGPD) ou de la loi française sur la protection des données, le responsable de la CNIL peut désormais simplement rappeler au responsable du traitement ou au sous-traitant ses obligations légales (il s’agit d’infractions mineures) (article 20, 2 de la loi Informatique et Libertés).

La loi du 24 janvier 2022 et le décret du 8 avril 2022 sont entrés en vigueur respectivement le 26 janvier et le 11 avril 2022.