- Texte visé : Projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, de simplification de la vie économique, n° 481 rectifié
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission spéciale chargée d’examiner le projet de loi de simplification de la vie économique
Le deuxième alinéa de l’article 22‑1 de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complété par une phrase ainsi rédigée : « Lorsque le chiffre d’affaires annuel mondial du responsable de traitement dépasse la somme de 50 millions d’euros, ces montants sont portés à 100 000 euros d’amende et 500 euros d’astreinte journalière. »
La procédure de sanction simplifiée de la Commission nationale de l’informatique et des libertés (CNIL), créée par la loi n° 2022-52 du 24 janvier 2022, avait pour objectif de simplifier la procédure de sanction ordinaire en instaurant une procédure pour traiter les dossiers peu complexes de manière plus rapide et souple, et permettre ainsi à la CNIL de mieux agir face aux plaintes de plus en plus nombreuses reçues depuis l’entrée en application du RGPD.
Les dossiers étudiés par la CNIL sont très variables en termes de gravité, de questions juridiques et technologiques soulevées, ou encore de conséquences pour les personnes. Il était donc important d’avoir une politique répressive différenciée, pour pouvoir traiter les différents dossiers de la manière la plus adaptée au regard de leur nature. Grâce à cette nouvelle procédure, le président de la CNIL peut orienter les dossiers peu complexes ou de faible gravité vers une procédure de sanction simplifiée qui, si elle suit les mêmes étapes que la procédure de sanction ordinaire pour les délais et la procédure contradictoire notamment, présente des modalités de mise en œuvre allégées : le président de la formation restreinte (ou un membre qu’il désigne) statue seul et aucune séance publique n’est organisée, sauf si l’organisme demande à être entendu, et le rapporteur est un agent de la CNIL.
Les sanctions susceptibles d’être prononcées dans ce cadre sont limitées au rappel à l’ordre, à une amende d’un montant maximum de 20 000 € et à une injonction avec astreinte plafonnée à 100 € par jour de retard. Ces sanctions ne peuvent pas être rendues publiques.
Depuis sa mise en place, la procédure de sanction simplifiée montre son utilité et connaît une montée en puissance notable. Entre 2022 et 2023, 28 décisions de sanction simplifiée ont été prononcées, avec environ 70 décisions attendues en 2024 et une cible à 80 décisions en 2025. Ce nombre de décisions de sanction reste faible par rapport au nombre de plaintes reçues par la CNIL, s’élevant à 16 000 en 2023 : la plupart des dossiers sont clôturés après rejet ou résolution du problème.
La CNIL souhaiterait pouvoir ajuster cette procédure de sanction simplifiée à l’égard de certains acteurs qui peuvent être concernés par une telle procédure mais dont la taille (entreprises dont le chiffre d’affaires annuel dépasse la somme de 50 millions d’euros) rend non proportionné, au regard de leur chiffre d’affaires très important, le prononcé d’une amende maximale de 20 000 euros. En effet, certains dossiers, bien que présentant des questions juridiques simples, ne sont pas orientés aujourd'hui vers cette procédure au regard de la sanction maximale pouvant être prononcée d'un montant de 20 000 euros, qui n'apparait pas adaptée et significative au regard, par exemple, de l'organisme concerné. Ces dossiers sont donc orientés vers la procédure de sanction ordinaire, dont les délais de mise en œuvre sont beaucoup plus longs, avec une décision prise en formation collégiale, le plus souvent publique, et le prononcé d’une amende d’un montant maximal de 2% ou 4% du chiffre d’affaires annuel mondial.
Or, pour ces cas non complexes et de gravité limitée, la procédure de sanction simplifiée apparaît tout à fait justifiée, mais avec un montant d’amende qui doit être adapté et proportionné, et qui ne peut être atteint avec le seuil maximal de 20 000 euros, qui pourrait être utilement porté pour ces organismes plus importants à 100 000 euros lorsque leur chiffre d’affaires annuel mondial dépasse les 50 millions d’euros, ce qui est le seuil de chiffre d’affaires qui est utilisé pour définir les PME.
Cet ajustement ne concernerait donc que les plus gros organismes afin que les amendes prononcées soient effectives, dissuasives et proportionnées. En revanche, pour les petits acteurs le montant d’une amende à 20 000 euros maximum serait maintenu. Par cohérence, il est aussi proposé d’augmenter le montant de l’astreinte maximale, dans les mêmes proportions.