Alors que le montant total des sanctions de la CNIL dépassait en 2021 et 2022 les 100 millions d'euros, il n'a pas atteint les 90 millions d'euros l'année dernière. Pourtant, l'autorité a pris deux fois plus de sanctions que l'année dernière.
La CNIL a un bilan 2023 qui contraste avec les deux années précédentes. Le total des 42 sanctions infligées l'année dernière par l'autorité est de 89 179 500 euros : 36 amendes (dont 14 injonctions sous astreinte), deux liquidations d'astreinte (« c’est-à-dire le paiement d’une somme en raison du non-respect d’un ordre donné par la CNIL dans sa décision de sanction », explique l'autorité) et quatre rappels à l'ordre. En 2022, l'autorité avait pris 21 sanctions, mais leur total avait atteint les 101 277 900 euros.
Une procédure simplifiée majoritairement utilisée
En 2023, la CNIL a majoritairement adopté des sanctions via la nouvelle procédure simplifiée mise en place depuis janvier 2022. Pour accélérer les procédures, la présidente de la CNIL, Marie-Laure Denis (qui a été reconduite récemment pour un mandat de cinq ans), peut décider qu'un dossier ne présente pas de difficulté particulière.
Celui-ci est instruit par le président de la formation restreinte qui peut ainsi statuer seul. C'est donc Alexandre Linden, à ce poste jusqu'à récemment et remplacé en intérim depuis le 8 février 2024 par Philippe-Pierre Cabourdin, qui a décidé seul de 24 sanctions prises (12 amendes portant sur des faits passés, et 12 amendes et injonctions portant sur des faits en cours) sur les 42 prises en 2023. Le montant total des sanctions dans ce cadre est de 229 500 euros.
La CNIL explique que, pour 15 de ces 24 dossiers sans difficulté particulière, le manquement principal était un défaut de coopération avec l'autorité.
Dans ces 24 dossiers, sept concernent des problèmes de sécurité des données personnelles. La CNIL donne comme exemples l'utilisation du protocole http sans couche de chiffrement TLS pour sécuriser l'échange des données, le manque de robustesse des mots de passe ou leur stockage en clair, sans pour autant donner de détails.
17 décisions prises dans ce cadre concernent des dossiers signalés par des plaignants. Ce dont la CNIL se félicite sans préciser ce que ce nombre représente par rapport aux plaintes déposées en 2023. « Parmi ces décisions, plusieurs ont porté sur la géolocalisation des véhicules, la vidéosurveillance des salariés, ou les droits des personnes », précise-t-elle.
Une sanction de plus qu'en 2022 pour la procédure « normale »
Pour 2023, la CNIL présente donc un nombre de 18 sanctions prononcées par la formation restreinte de l'autorité, la procédure jusque-là « normale » par laquelle les dossiers étaient traités. C'est une de plus qu'en 2022.
L'autorité ne distingue pas de thématique spécifique pour les sanctions prise via cette voie : « publicité et commerce en ligne, sécurité, géolocalisation des véhicules, droits des salariés ou encore traitement des données de santé : les décisions de sanction ont porté sur des thématiques variées et ont concerné des acteurs de taille et de secteurs divers ».
Elle note que ces sanctions ont « aussi bien été prononcées contre de petites entreprises qu’à l’encontre de multinationales et ont concerné tant le secteur privé que le secteur public ». L'autorité relève avoir sanctionné des traitements de données « mis en œuvre par des employeurs en méconnaissance du droit au respect de la vie privée des salariés », sans toutefois donner le nombre de sanctions prises en ce sens.
Elle n'oublie pas dans son bilan son rappel à l'ordre, en novembre dernier, envers Stanislas Guérini et Bruno Lemaire, ministres de la Fonction publique et de l’Économie, pour leur email pro-réforme des retraites.
Loin du nombre de sanctions espagnol
Le nombre de sanctions prises par la CNIL n'est pas un record en Europe. Dans un post sur LinkedIn, Guillaume Champeau compare les 42 sanctions qu'elle a prises en 2023 aux 441 prises la même année par son homologue espagnole, l'Agencia Española de Protección de Datos.
François Pellegrini, membre et vice-président de la CNIL jusqu'au renouvellement intervenu en début d'année, lui a répondu sur Twitter en expliquant que les deux autorités avaient « deux visions de la chaîne répressive ».
Celle de la France vise plutôt de « gros dossiers » qui, selon lui, « demandent beaucoup de moyens en instruction, doivent être "bétons" car ils partent en appel au Conseil d'État. Cependant, ils permettent à la jurisprudence de confirmer quelles pratiques sont interdites ».
Il rajoute que ces dossiers sont « structurants pour l'ensemble de l'écosystème, car ils permettent aussi aux homologues UE de se positionner sur ces sujets et de renforcer leurs propres procédures. C'est un investissement sur le long terme ».
Jusqu'ici, « la CNIL n'avait pas la possibilité de traiter vite de "petits" dossiers sur la base d'une jurisprudence bien établie ; tout devait passer devant l'ensemble de la Formation restreinte. Avec la nouvelle procédure simplifiée, il devient possible de travailler "à l'espagnole" » explique-t-il.
Rappelons quand même que cette procédure simplifiée a permis à la CNIL d'atteindre le nombre de 42 sanctions pendant que son homologue en traitait 441. Mais effectivement, l'autorité française vise des gros dossiers, ce qui lui permet d'atteindre un montant total de sanction bien supérieur à celui de l'Agencia Española de Protección de Datos. Ainsi en 2022, l'autorité espagnole a récolté un montant de 20 775 361 euros [PDF] pendant que la CNIL en récoltait, comme précisé, 101 277 900 euros.
Toujours plus de mises en demeure
Décidées par la présidente de la CNIL pour imposer aux organismes de se mettre en conformité dans un délai fixé, les mises en demeure sont encore en hausse en 2023 avec 168 décisions prononcées. L'autorité en avait prononcé 147 en 2022. Si l'autorité explique que les secteurs et les sujets de ces mises en demeure étaient variés, elle insiste sur deux séries de décisions.
Elle a notamment mis en demeures 39 communes qui avaient « mis en place des lecteurs automatisés de plaques d’immatriculation (dispositif « LAPI ») pour des finalités de police administrative et judiciaire (par exemple, des infractions au code de la route) ».
L'autorité a aussi envoyé 39 mises en demeures à des organismes publics pour des problèmes de sécurité, notamment pour ne pas avoir mis en place le protocole de communication sécurisé HTTPS sur leur site web.
Commentaires (6)
#1
Les "petits dossiers" ça donne ça :
*Vous avez adressé à la Commission nationale de l’informatique et des libertés (CNIL) une réclamation concernant les difficultés que vous rencontrez dans le cadre de l’exercice des droits dont vous disposez sur vos données à caractère personnel.
La CNIL est intervenue à l’appui de votre demande auprès de l’organisme mis en cause. Elle lui a rappelé ses obligations et l’a alerté sur la nécessité de respecter les règles en vigueur, notamment en apportant une réponse à votre demande.
Si la réponse apportée par l’organisme vous parait incomplète ou insuffisante, il vous est recommandé de lui demander de la compléter en le contactant directement.
En cas d’absence de réponse, vous pourrez déposer une nouvelle réclamation à la CNIL, en rappelant le numéro de dossier mentionné ci-dessus. L’organisme mis en cause devant disposer d’un délai suffisant pour se mettre en conformité, je vous prie d’attendre un délai de 6 semaines avant d’adresser une nouvelle réclamation à la CNIL.
Compte-tenu de ces éléments, je vous informe de la décision de la CNIL de clore votre plainte. *
Une sorte de "anéfé rejeté" qui ne prend même pas la peine de mettre en variable le nom de l'arganisme en question. On n'a même pas la preuve qu'il ait été notifié de quelque chose (personne n'est revenu vers moi pour me dire "la CNIL nous a fait les gros yeux, on va faire ceci ou cela pour être conforme à ses recommandations".
#1.1
Restons humbles devant l'énorme tâche qu'a cette institution à faire. Ce n'est pas parfait mais les gens qui bossent là bas se donnent.
#1.2
#1.3
Historique des modifications :
Posté le 19/02/2024 à 21h56
oui, d'ailleurs, c'est sur la base d'un seul cas que Aeris a formulé son mémoire au conseil d'état contre la CNIL FR,... ( https://next.ink/126827/la-cnil-accusee-de-ne-pas-remplir-sa-mission-de-veiller-au-respect-du-rgpd/ )
#1.4
Et quasiment toujours un retour du coupable, soit la queue entre les jambes "oui oui pardon on vous avait pas répondu parce qu'en fait Simone avait perdu votre email mais promis on a fait ce qu'il fallait", soit en mode matamore "ouais franchement je vois pas le problème blablabla" et une seconde plainte, si nécessaire, les fait rejoindre le point un.
#1.5