La CNIL dispose désormais d’un nouveau cadre d’ « action répressive simplifiée » qui a « notamment été créée pour les dossiers peu complexes » afin de « permettre une plus grande souplesse dans le recours aux mises en demeure ou aux sanctions ».
L’autorité a en effet dû répondre à deux fois plus de plaintes depuis l’adoption du RGPD : elle en dénombre ainsi « plus de 14 000 en 2021 », ayant entraîné « 18 sanctions et 135 mises en demeure prononcées ».
La présidente de la CNIL « peut désormais orienter les dossiers peu complexes ou de faible gravité vers une procédure de sanction dite simplifiée » :
« La procédure de sanction simplifiée suit les mêmes étapes que la procédure de sanction ordinaire (pour les délais, la procédure contradictoire, etc.), mais ses modalités de mise en œuvre sont allégées : le président de la formation restreinte (ou un membre qu’il désigne) statue seul et aucune séance publique n’est organisée, sauf si l’organisme demande à être entendu. »
Ces sanctions simplifiées sont « limitées au rappel à l’ordre, à une amende d’un montant maximum de 20 000 € et à une injonction avec astreinte plafonnée à 100 € par jour de retard », et « ne peuvent pas être rendues publiques ».
La procédure ordinaire a de son côté été « ajustée et clarifiée », offrant des « délais rallongés pour produire des observations », ainsi que la possibilité pour le président de la formation restreinte de « décider seul qu’il n’y a plus lieu de statuer (par exemple si l’organisme a disparu depuis le début de la procédure de sanction) » :
« Par ailleurs, le plafond de 6 mois encadrant le délai de conformité déterminé dans les mises en demeure disparaît afin de permettre aux organismes de déployer des programmes de conformité plus longs lorsque certaines situations l’exigent. »