Les étapes de la procédure de sanction ordinaire
Lorsqu’une sanction est susceptible d’être prononcée, le président de la CNIL peut désigner un rapporteur et saisir la formation restreinte.
Une procédure de sanction peut être engagée à l’encontre d’un organisme si un manquement au RGPD ou à la loi Informatique et Libertés est constaté :
- à la suite du dépôt d’une plainte ou d’un signalement auprès de la CNIL ;
- à la suite d’une mission de contrôle de la CNIL.
Dans ce cas, le président de la CNIL désigne un rapporteur parmi les membres du collège n’étant pas membres de la formation restreinte et saisit la formation restreinte. Celle-ci est composée de cinq membres du collège et d’un président, élus par leurs pairs.
Le responsable de traitement ou le sous-traitant mis en cause en est informé.
La formation restreinte est destinataire de tous les documents lors de la procédure écrite entre le rapporteur et l’organisme mis en cause.
Durant la procédure, l’organisme visé peut être entendu si le rapporteur l’estime utile. Dans ce cas, l’audition est suivie de la rédaction d’un procès-verbal. S’il l’estime nécessaire, le rapporteur peut également demander à ce qu’il soit procédé à des contrôles complémentaires.