La Commission Nationale de l'Informatique et des Libertés (CNIL) intensifie sa lutte contre les manquements aux règles de protection des données avec la procédure simplifiée, une approche agile et rapide mise en place en 2022. Récemment, la CNIL a rendu seize décisions exemplaires dans le cadre de cette procédure, sanctionnant des acteurs publics et privés pour diverses violations.
La CNIL est confrontée à une augmentation significative des plaintes, dépassant les 12 000 en 2022, enregistrant une hausse de 72 % depuis l'entrée en vigueur du RGPD en 2018. Pour faire face à cette demande croissante, la procédure simplifiée permet à la CNIL de répondre efficacement aux affaires qui ne présentent pas de difficulté particulière.
La procédure simplifiée de la CNIL, instaurée à partir du 15 décembre 2022, offre une voie expéditive pour traiter les manquements au RGPD ou à la loi Informatique et Libertés lorsque l'affaire ne présente pas de complexité particulière.
Lorsqu'un manquement est constaté, le président de la CNIL désigne un rapporteur parmi les agents de la Commission, qui informe ensuite le président de la formation restreinte. Le responsable de traitement ou le sous-traitant mis en cause est notifié, et la procédure consiste principalement en des échanges écrits entre le rapporteur et l'organisme visé.
Si le président de la formation restreinte le juge nécessaire, l'organisme peut être entendu, et l'instruction se clôture lorsque le rapporteur estime le dossier prêt. La décision finale, pouvant inclure des mesures telles que le rappel à l'ordre, l'injonction de mise en conformité, ou une amende administrative, est rendue par le président de la formation restreinte seul. Cette procédure agile permet à la CNIL de réagir promptement aux infractions, offrant une alternative efficace à la procédure ordinaire pour les affaires moins complexes.
Au cours des trois derniers mois, la CNIL a prononcé seize sanctions pour un montant total de 141.000 euros. Ces sanctions incluent des violations de l'obligation de répondre aux demandes de la CNIL, la minimisation des données (notamment la géolocalisation et la vidéosurveillance continue des salariés), l'information sur le traitement des données, et le respect des droits des individus, tels que le droit d'opposition ou le non-respect du droit d'accès au dossier médical.
De manière particulière, la géolocalisation des véhicules de salariés et la vidéosurveillance des travailleurs ont été des points d'attention. La CNIL souligne le caractère excessif de l'enregistrement continu des données de géolocalisation, sans possibilité pour les salariés de l'interrompre pendant les pauses, sauf justification particulière. Concernant la vidéosurveillance, la CNIL réaffirme qu'une surveillance constante des salariés à leur poste de travail est souvent disproportionnée au regard des finalités poursuivies.
Ces sanctions, démontrant l'engagement ferme
de la CNIL de protéger les données personnelles, renforcent la transparence et
la responsabilisation dans le domaine de la protection des données. Les
décisions seront disponibles sur le site web de la CNIL, offrant un aperçu
clair des actions prises pour garantir le respect des droits fondamentaux dans
l'environnement numérique en constante évolution.
La CNIL continuera d'utiliser la procédure simplifiée de manière régulière en parallèle de la procédure ordinaire pour les cas nécessitant des investigations plus importantes.
Vous avez une question juridique concernant la réglementation sur la protection des données ? Extern DPO peut mettre à votre disposition une hotline afin de répondre à vos interrogations sur votre conformité RGPD. Nos experts apporteront des réponses claires et précises pour vous aider au mieux dans votre démarche.