Depuis 2022, une procédure de sanction simplifiée permet à la CNIL d’infliger une sanction pouvant aller jusqu’à 20.000 € lorsqu’elle constate un manquement au règlement général sur la protection des données (RGPD) ou à la loi Informatique et Libertés.
Cette procédure peut être engagée lorsque l’affaire ne présente pas de difficulté particulière, par exemple au regard de :
- l’existence d’une jurisprudence établie ;
- décisions précédemment rendues par la formation restreinte ;
- la simplicité des questions de fait et de droit en cause.
Dans le cadre de la procédure de sanction simplifiée, la CNIL a prononcé dix sanctions, condamnant des acteurs privés et publics pour un montant total de 97.000 €, pour divers manquements, notamment l’absence de réponse aux demandes de la CNIL, la géolocalisation abusive ou la vidéosurveillance continue et permanente des salariés ou encore des manquements en matière d’information sur les traitements utilisés et leur finalité.
Pour rappel, la procédure de sanction simplifiée est une procédure écrite. A compter de la notification du rapport de sanction, l’organisme dispose d’un délai d’un mois pour formuler des observations écrites. La décision de sanction sera par la suite rendue par le président de la formation restreinte, qui peut être :
- soit un rappel à l’ordre ;
- soit une injonction de mettre le traitement en conformité, y compris sous astreinte d’un montant maximal de 100 € par jour de retard ;
- soit une amende administrative d’un montant maximal de 20 000 €.
A l’occasion des sanctions récentes, la CNIL rappelle, d’une part, que les salariés doivent avoir la possibilité d’arrêter ou de suspendre l’enregistrement en continu des données de géolocalisation pendant leur pause. A défaut, ce dispositif constituerait une atteinte excessive à la liberté d’aller et venir et au droit à la vie privée des salariés, qui ne pourrait être justifiée que par des raisons particulières.
D’autre part, la CNIL réaffirme l’interdiction de filmer de manière constante les salariés à leur poste de travail sans justification particulière. A cet égard, elle précise que la prévention des accidents du travail et la constitution d’une preuve ne suffisent pas à justifier la mise en œuvre d’un tel dispositif, lorsque les données à caractère personnel issues du système de vidéosurveillance ne sont ni adéquates, ni pertinentes, ni proportionnée au regard des finalités poursuivies.