En 2022, la CNIL a instauré une procédure de sanction simplifiée, qui s'applique lorsque des manquements au RGPD ou à la loi Informatique et Libertés sont constatés, et que l'affaire ne présente pas de complexités particulières.
Cette simplification peut intervenir en présence d'une jurisprudence établie, de décisions antérieures de la formation restreinte, ou lorsque les questions de fait et de droit sont relativement simples, selon les indications de la Commission. Cette procédure concerne les affaires sans difficulté majeure et peut entraîner des amendes pouvant atteindre 20 000 euros.
Au cours des deux derniers mois, la CNIL a rendu pas moins de dix décisions dans le cadre de cette procédure, infligeant un total de 97 000 euros d'amendes à des acteurs privés et publics pour non-respect de l'obligation de répondre à ses demandes. Ces décisions concernent divers aspects, tels que la minimisation des données (géolocalisation et vidéosurveillance continue et permanente des salariés), la communication sur le traitement des données et ses objectifs, ainsi que le respect des droits des individus, y compris le droit d'opposition.
Bien que les chiffres du bilan annuel de 2022 ne soient pas encore disponibles, il est clair que cette année a été productive. Au 31 janvier 2023, la CNIL a émis des amendes allant de 5 000 € à 15 000 €, dont la moitié assorties d'injonctions sous astreinte. Cette procédure simplifiée s'avère être un outil précieux pour la CNIL, lui permettant d'améliorer l'efficacité de ses mesures répressives en réponse à la hausse continue des plaintes reçues, qui ont augmenté de 72 % depuis la mise en œuvre du RGPD en 2018.
Parmi les dix décisions prises, deux problématiques se démarquent, à savoir la géolocalisation des véhicules des employés et la vidéosurveillance des collaborateurs.
Concernant la géolocalisation, la CNIL rappelle que l'enregistrement continu des données de géolocalisation, sans possibilité pour les salariés d'interrompre ou de suspendre le dispositif pendant leurs temps de pause, constitue généralement une intrusion excessive dans la liberté de mouvement et le droit à la vie privée des salariés, à moins qu'il n'existe une justification spécifique.
En ce qui concerne la vidéosurveillance des postes de travail, la CNIL réitère sa position selon laquelle le déploiement d'un système de vidéosurveillance qui filme de manière constante les employés à leur poste de travail, sans justification particulière, ne peut être justifié par la prévention des accidents du travail ou la collecte de preuves.
Elle souligne que dans de telles circonstances, les données personnelles provenant du système de vidéosurveillance ne sont ni appropriées ni pertinentes, ajoutant que la surveillance constante des salariés est, sauf exceptions, disproportionnée par rapport aux objectifs poursuivis. La CNIL affirme également qu'elle continuera à infliger régulièrement des sanctions dans le cadre de la procédure simplifiée et rendra compte publiquement de ses décisions.