En 2022, la CNIL a mis en place ce qu’elle appelle une procédure de sanction simplifiée. Dans les faits, « lorsqu’un manquement au RGPD ou à la loi Informatique et Libertés est constaté, une procédure de sanction simplifiée peut être engagée à l’encontre d’un organisme si l'affaire ne présente pas de difficulté particulière ». Cela peut être le cas lors de l’existence d'une jurisprudence établie ; des décisions précédemment rendues par la formation restreinte ; de la simplicité des questions de fait et de droit qu'elle présente à trancher, indique la Commission. Sont concernées les affaires qui ne présentent pas une difficulté particulière et pour lesquelles une amende, pouvant aller jusqu’à 20 000 euros, peut être prononcée.

Ces deux derniers mois, le régulateur a rendu pas moins de dix décisions dans ce cadre. Il a ainsi sanctionné, pour un montant total de 97 000 euros d’amendes, des acteurs privés et publics pour des manquements à l’obligation de répondre à ses demandes. Ces décisions concernent la minimisation des données (géolocalisation et vidéosurveillance continue et permanente des salariés) ; l’information sur le traitement mis en œuvre et ses finalités ; l’obligation de respecter les droits des personnes, et notamment de répondre à une demande d’opposition. Si l’on ne connaît pas encore les chiffres du second bilan annuel, 2022 a été une année que l’on pourrait qualifier de productive. Au 31 janvier 2023, le régulateur donnait le bilan suivant : les amendes prononcées s’échelonnent entre 5 000 € et 15 000 € avec, pour la moitié d’entre elles, des injonctions sous astreinte. Ce type de procédure est une aide précieuse pour la Cnil, lui permettant d’accroître l’efficacité de son action répressive en réponse aux plaintes reçues, chaque année plus nombreuses. Pour mémoire, elle a reçu plus de 12 000 plaintes en 2022, soit +72 % depuis l’entrée en application du RGPD en 2018.

Focus sur la géolocalisation et la vidéosurveillance des salariés

Dans ces dix décisions, deux sujets ressortent particulièrement, la géolocalisation des véhicules de salariés et la vidéosurveillance des collaborateurs. Sur le premier sujet, la Cnil rappelle notamment que l’enregistrement en continu des données de géolocalisation, sans possibilité pour les salariés d’arrêter ou de suspendre le dispositif sur les temps de pause est, sauf justification particulière, une atteinte excessive à la liberté d’aller et venir et au droit à la vie privée des salariés.

Sur le second, elle réaffirme sa doctrine sur le déploiement d’un dispositif de vidéosurveillance qui filme, sans raison particulière, de manière constante les salariés à leur poste de travail. « La prévention des accidents du travail et la constitution d’une preuve ne justifient pas la mise en œuvre de la vidéosurveillance en continu des postes de travail. Dans ces conditions, les données à caractère personnel issues du système de vidéosurveillance n’apparaissent ni adéquates ni pertinentes » insiste le régulateur, ajoutant que « la surveillance permanente des salariés est, sauf exception, disproportionnée au regard des finalités poursuivies ». La Cnil réaffirme par ailleurs qu’elle prononcera régulièrement des sanctions dans le cadre de la procédure simplifiée et en rendra compte publiquement.