Au terme d’un contrôle de la CNIL au sein d’un organisme ( à distance ou sur place), ou même d’une plainte d’une personne physique relative à la violation de ses prérogatives liées à la garantie de la protection de ses données personnelles , la CNIL peut opter entre deux mécanismes spécifiques afin de sanctionner ledit organisme : la procédure ordinaire, ou la procédure simplifiée.
Quelles sont les étapes de la mise en œuvre de LA PROCÉDURE ORDINAIRE ?
La procédure ordinaire de sanction de la CNIL débute simplement avec une saisie de la formation restreinte par le président de la CNIL ainsi que la désignation d’un rapporteur. Il s’en suit donc une information du responsable de traitement ou sous-traitant concerné de sa violation des dispositions du RGPD ou de la Loi Informatique et Libertés. Cette notification mentionne surtout la nature de la sanction, encore plus si elle est financière. L’organisme mis en cause a le droit de consulter les éléments constitutifs du dossier auprès de la CNIL.
Après réception du dossier, le responsable de traitement ou sous-traitant peut bénéficier aussi bien du conseil de son choix tout au long de la procédure. De plus, il dispose d’un délai d’un mois pour y apporter des observations. Toutefois, il peut bénéficier d’une prorogation de ces délais conformément aux dispositions de l’article 40 du décret d’application de la Loi Informatique et Libertés.
Le rapporteur informe l’organisme mis en cause au minimum quinze jours avant sa tenue et le président de la formation restreinte lorsque l’instruction est close.
De principe, la séance de la formation restreinte est publique, néanmoins l’organisme peut limiter cette publicité lorsqu’il la trouve en accord avec l’intérêt public ou la protection du secrets protégés le demande. La séance pourra alors se tenir à huis clos.
Lors de cette séance, l’organisme, et le rapporteur peuvent émettre des observations orales en complément de leurs rapports écrits. Le commissaire de gouvernement peut émettre son avis sur l’affaire. L’organisme et son conseil prennent la parole en dernier.
A contrario de la séance publique, la délibération par les membres de la formation restreinte a lieu à huis clos, et le caractère public de la sanction dépend uniquement sur la volonté de ces membres. La formation restreinte notifie les résultats de cette délibération à l’organisme mis en cause, et il dispose d’un délai de deux mois afin de former un recours devant le Conseil d’État.
C’est de la compétence du Trésor Public d’effectuer le recouvrement des amendes de la CNIL. La CNIL ne peut pas indemniser les individus ayant subi un préjudice.
Quelles sont les spécificités de la procédure simplifiée ?
La CNIL peut aussi opter pour une procédure de sanction simplifiée en accord avec la jurisprudence établie, les précédentes décisions de la formation restreinte, et de la simplicité des questions de fait et droit à trancher. Le président de la CNIL procède alors à une simple désignation d’un rapporteur parmi les agents de services de la CNIL, et en informe le président de la formation restreinte. Il peut prendre l’affaire ou la confier à un membre qu’il désigne. Le responsable de traitement ou sous-traitant mis en cause en est informé. C’est le président de la formation qui reçoit toutes les pièces tout au long de la procédure. Il jouit aussi de la prérogative de refuser ou supprimer le recours à cette procédure.
Si le rapporteur le trouve utile, l’organisme visé peut peut aussi être entendu si le rapporteur le trouve utile. La rédaction d’un procès-verbal suivra alors cette audition. Le rapporteur bénéficie de la prérogative d’exiger des contrôles complémentaires.
Il s’ensuit une notification à l’organisme mis en cause du rapport avec mention des sanctions et surtout du montant à payer lorsque la sanction est de nature financière. L’organisme dispose alors d’un délai d’un mois afin de formuler des observations écrites. Le rapporteur bénéficie aussi du même délai pour répondre à ces observations. Lorsqu’il estime que le dossier est prêt, le rapporteur informe le mis en cause ainsi que le président de la formation restreinte que l’instruction est achevée.
L’organisme reçoit la notification de la tenue de la formation restreinte au moins quinze jours avant la tenue de celle-ci, et le président de la formation restreinte donne son verdict tout seul. La sanction peut alors être de différents ordres : un rappel à l’ordre, une injonction de mise en conformité du traitement inclus sous astreinte de 100 euros maximum, et même encore une amende administrative d’une valeur maximale de 20 000 euros.
Ainsi, vous avez une présentation détaillée des différentes procédures auxquelles la CNIL peut avoir recours en cas de la violation des dispositions du cadre légal encadrant les données personnelles, et surtout des voies de recours auxquelles vous pouvez avoir recours pour prouver de votre conformité à la réglementation en vigueur à l’heure actuelle en matière de protection de données personnelles.
