La CNIL a mise à jour les étape de la procédure de sanction ordinaire, la procédure de sanction qui peut être mise en place par la Commission nationale de l’informatique et des libertés (CNIL) en cas de manquement au Règlement général sur la protection des données (RGPD) ou à la loi Informatique et Libertés.

La procédure peut être engagée suite à une plainte ou un signalement reçu par la CNIL ou suite à une mission de contrôle menée par celle-ci.

Le président de la CNIL désigne alors un rapporteur parmi les membres du collège et saisit la formation restreinte, qui est composée de cinq membres du collège et d’un président élus par leurs pairs.

L’organisme mis en cause est informé de la procédure et peut être entendu si le rapporteur le juge nécessaire. Le rapporteur peut également demander des contrôles complémentaires si nécessaire.

Ce qui se passe avant la séance

1. Le rapport de sanction est notifié à l’organisme mis en cause, qui peut demander à prendre connaissance et copie des pièces du dossier auprès du service des sanctions de la CNIL. L’organisme peut être assisté ou représenté par le conseil de son choix.
2. L’organisme dispose d’un délai d’un mois pour formuler des observations écrites sur le rapport de sanction. Le rapporteur peut répondre à l’organisme dans un délai d’un mois à compter de la réception des observations. L’organisme a la possibilité de répondre au rapporteur. Si la complexité de l’affaire le justifie, le président de la formation restreinte peut accorder une prolongation de ces délais.
3. Lorsque le dossier est prêt, le rapporteur informe l’organisme mis en cause et le président de la formation restreinte que l’instruction est close. L’organisme est alors informé de la date de la séance de la formation restreinte au moins quinze jours avant sa tenue.
4. La séance de la formation restreinte se tient publiquement, sauf si l’organisme demande au président de la formation restreinte de restreindre la publicité de la séance pour des raisons liées à l’ordre public ou à la protection de secrets protégés par la loi. Dans ce cas, la séance se tient à huis clos.

Ce qui se passe durant la séance

• Le rapporteur, puis l’organisme et/ou son conseil, peuvent présenter des observations orales, à l’appui de leurs écrits, et répondent aux questions des membres de la formation restreinte.
• Le commissaire du gouvernement peut donner son avis sur l’affaire.
• L’organisme et/ou son conseil prennent la parole en dernier.

Ce qui se passe a l’issu de la séance

Après avoir délibéré à huis clos, les membres de la formation restreinte peuvent décider de rendre la sanction publique. Ils notifient leur décision à l’organisme mis en cause quelques semaines plus tard. L’organisme a alors un délai de deux mois pour faire appel de cette décision devant le Conseil d’État. Les amendes imposées par la CNIL sont recouvrées par le Trésor Public, mais la CNIL ne peut pas indemniser les personnes ayant subi un préjudice.