La CNIL intensifie les sanctions pour manquements au RGPD grâce à la procédure simplifiée

La CNIL intensifie les sanctions pour manquements au RGPD grâce à la procédure simplifiée

Ce qu’il faut retenir

En 2024, la CNIL a prononcé 69 nouvelles sanctions dans le cadre de la procédure simplifiée. Ces sanctions, qui portent sur divers manquements au RGPD, représentent un montant total de 715.500 euros.


Dans son dernier bilan annuel d’activité, la CNIL a annoncé avoir prononcé 69 sanctions au cours de l’année 2024, en application de la procédure simplifiée. (1) Ces sanctions, qui représentent un total de 715.500 euros, soit un montant moyen de 10.300€ par dossier, portent sur divers manquements au RGPD. Cette annonce de la CNIL met au jour une forte accélération du nombre de sanctions prononcées selon cette procédure introduite début 2022. (2)


1. Qu’est-ce que la procédure de sanction simplifiée ?

La procédure de sanction simplifiée, introduite en 2022, permet à la CNIL de traiter rapidement les dossiers ne présentant pas de complexité juridique majeure, ou lorsqu’il existe une jurisprudence établie ou des décisions précédemment rendues par la formation restreinte. (3)

La procédure simplifiée est une procédure écrite menée par un rapporteur nommé par le président de la CNIL.

A compter de la réception du rapport, l’organisme contrôlé dispose d’un mois pour formuler des observations écrites. Le rapporteur dispose ensuite d’un mois répondre à ces observations. L’organisme peut être assisté ou représenté par un Conseil.

Trois types de mesures peuvent être prononcées en application de cette procédure :
    - un rappel à l’ordre (rappel à la loi) portant sur l’obligation pour l’organisme en cause de se mettre en conformité ;
    - une injonction (mise en demeure) de se mettre conformité dans un délai fixé. L’injonction peut être assortie d’une astreinte pour un montant maximal de 100€ par jour de retard ; ou
    - une amende administrative. Les sanctions pécuniaires prononcées dans le cadre des procédures simplifiées ne peuvent dépasser 20.000€. Elles ne sont pas rendues publiques.

La procédure simplifiée peut être suspendue à tout moment pour basculer sur la procédure ordinaire. (2)


2. Les principaux manquements au RGPD relevés en 2024

Lors des contrôles engagés pour non-conformité des organismes au RGPD, les manquements suivants ont été le plus fréquemment identifiés :

    - Défaut de coopération : lors du lancement d’une enquête de conformité, le rapporteur adresse à l’organisme concerné une demande d’informations, à laquelle l’organisme est tenu de répondre. En 2024, 27 organismes (sociétés et professionnels libéraux) ont été sanctionnés pour défaut de coopération avec la CNIL ;

    - Non-respect de l’exercice des droits des personnes : 23 organismes ont été sanctionnés pour ne pas avoir donné suite, ou avoir tardé à répondre, à des demandes d’effacement, d’opposition ou d’accès aux données personnelles ;

    - Non-respect du principe de minimisation des données : ce principe signifie que seules les données strictement nécessaires au traitement peuvent être collectées. 10 organismes ont été sanctionnés pour collecte de commentaires excessifs, enregistrement systématique ou intégral de conversations téléphoniques, ou surveillance vidéo en continu de salariés à leur poste de travail. Ces collectes de données, même pour des finalités telles que la formation ou l’amélioration des ventes, ont été considérées comme étant disproportionnées et portant atteinte au principe de minimisation des données ;

    - Manquement à la sécurité des données personnelles : la sécurité des données est l’une des obligations principales incombant au responsable du traitement, que les données soient hébergées chez lui ou chez un tiers sous-traitant. 11 organismes ont été sanctionnés pour défaut de sécurité des données, tel que l’utilisation de mots de passe insuffisamment robustes, le stockage de mots de passe en clair, l’absence de politique d’habilitation du personnel autorisé à accéder aux données ou l’utilisation d’une version obsolète du protocole TLS de chiffrement des données.


    La conformité au RGPD est une contrainte, mais peut également être mise en avant comme un gage de confiance et de transparence vis-à-vis des personnes concernées - clients et utilisateurs. Les organismes disposent de nombreux outils à leur disposition pour assurer leur conformité au RGPD. La CNIL publie régulièrement des guides, lignes directrices et recommandations. Le rôle des DPO et des avocats est également d’accompagner les organismes dans cette démarche, y compris en pilotant la réalisation d’audits de conformité, sans attendre un éventuel contrôle qui peut aboutir à une sanction pécuniaire.

* * * * * * * * * * *


(1) La procédure de sanction simplifiée est décrite à l’article 22-1 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (“Loi Informatique et Libertés”).

(2) Par comparaison, en 2023, la CNIL a prononcé 24 sanctions en application de la procédure simplifiée pour un total de 229.500€.

(3) Composé de 5 membres et d’un président, la formation restreinte est l’organe interne de la CNIL qui décide de lancer des enquêtes de conformité pouvant aboutir à des sanctions en cas de non-respect de la loi par les responsables de traitement.


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2025

Retourner à la page des Actualités et Publications

Mots clés :

accessibilité numérique (7) adwords (1) ai (15) arcep (3) arcom (7) audiovisuel (3) base de données (3) bitcoin (1) blockchain (5) cbpr (3) cgv (1) chine (1) cloud computing (2) cnil (15) commerce (2) communication (8) compliance (15) confidentialité (2) conformité (9) consommateurs (3) contrat (8) contrefaçon (9) cookies (4) copyright (3) csa (1) cybercriminalité (5) data (1) data privacy framework (2) dma (4) données à caractère personnel (16) données personnelles (28) dpf (2) droit d'auteur (9) dsa (2) e-commerce (9) e-consommateurs (1) enfance (4) etats-unis (4) eu (8) europe (6) formation (1) fraude (2) gdpr (25) google (4) hébergeur (3) ia (11) ico (1) informatique (10) informatique et libertés (4) intelligence artificielle (10) internet (27) jeu vidéo (2) liberté d'expression (2) logiciel (7) loi informatique et libertés (5) loi sren (5) marque (3) métavers (2) méthode agile (2) monnaie électronique (1) moteur de recherche (5) nft (3) nom de domaine (1) numérique (6) originalité (4) privacy shield (2) propriété intellectuelle (11) protection des données (6) publicité (6) référencement (4) réglementation (10) réseau (1) réseaux sociaux (8) responsabilité (8) responsable du traitement (10) rgpd (19) robotique (5) rpa (2) salariés (4) santé publique (1) sécurité (7) singapour (3) site web (1) us (2) vie privée (18)