En raison du nombre élevé des plaintes reçues par la CNIL pour violation des données personnelles, la loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure a permis de simplifier les procédures permettant la mise en œuvre des mesures correctrices et de sanctions en cas de manquement au RGPD ou à la loi « Informatique et Libertés » du 6 janvier 1978.
L’article 33 a ainsi prévu que la mise en œuvre de ces procédures simplifiées sera régie par un décret en conseil d’Etat. C’est désormais chose faite avec l’entrée en vigueur du décret du 8 avril 2022.
Dans cette perspective, ce décret laisse ouvert le nombre d’échanges et allonge les délais requis pour les produire. Il ouvre également la possibilité à la mise en œuvre d’une procédure orale.
Le nouveau texte définit ensuite les modalités de la procédure simplifiée de sanction et de la procédure d’injonction à produire en cas d’absence de réponse à une mise en demeure devant le président de la formation restreinte.
Le décret autorise enfin à la commission à solliciter le concours de personnes extérieures chargées d’assister le rapporteur dans le cadre de la procédure ordinaire, ou susceptibles d’être désignées rapporteurs dans le cadre de la procédure simplifiée. Cette autorisation est toutefois admise sous réserve d’absence de conflit d’intérêts. Il en est notamment ainsi lorsque les rapporteurs ont un intérêt direct ou indirect dans l’un des organismes mis en cause dans le cadre de la procédure simplifiée.
Il organise la procédure d’échange entre la formation restreinte et les différentes autorités de contrôle lorsqu’il y existe un élément nouveau permettant de dépasser le cadre de la procédure simplifiée pour suivre une procédure ordinaire.
Pour mémoire, les sanctions susceptibles de pouvoir être prononcées dans le cadre d’une procédure simplifiées sont les suivantes :
- Rappel à l’ordre;
- Amende maximale de 20 000€;
- Injonction avec astreinte plafonnée à 100 euros par jour de retard.
Consultez ici l’intégralité du document : Décret n° 2022-517 du 8 avril 2022 modifiant le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (JO 10 avril 2022 ; texte n° 20)