CNIL : un bilan record pour les sanctions en 2022
Plein régime
Le 13 février 2023 à 14h16
6 min
Droit
Droit
Pour la deuxième année consécutive, les sanctions de la CNIL ont dépassé les 100 millions d’euros. 2022 a confirmé les tendances de 2021, mais a également été marqué par une « réforme importante des procédures correctrices », signale la Commission.
La Commission nationale Informatique et libertés a eu du travail en 2022, autant qu’en 2021. Les sanctions infligées aux contrevenants ont atteint les 101 277 900 euros. Dans le rapport publié par la CNIL le 31 janvier, on trouve plusieurs éléments intéressants.
L’arrivée de la procédure simplifiée
Dans l’année écoulée, ces plus de 100 millions d’euros se répartissent sur 21 sanctions. Sur celles-ci, 19 sont des amendes, 7 étaient des injonctions avec astreinte, c’est-à-dire avec une somme à payer en cas de non-respect de la décision. Les deux autres étaient justement des liquidations d’astreinte, autrement dit des paiements de sommes en raison du non-respect d’un ordre donné par la CNIL dans sa décision de sanction.
C’est dans la manière dont ces 21 décisions ont été rendues que l’on trouve un élément intéressant. 17 sanctions ont ainsi été prononcées par la formation restreinte de la CNIL, les 4 quatre autres par une seule personne.
Ces quatre décisions ont été prises dans le cadre de la nouvelle procédure de sanction simplifiée de la CNIL, en place depuis un an. Elle a été créée pour accélérer les procédures dans les cas de dossiers « ne présentant pas de difficulté particulière ». La Commission en profite pour glisser une nouvelle fois que le nombre de plaintes qu’elle reçoit est en hausse constante, justifiant cette procédure simplifiée, qui permet ainsi de gagner du temps.
La procédure se déclenche à l’initiative de la présidente de la Commission, Marie-Laure Denis. Elle saisit le président de la formation restreinte et nomme un rapporteur parmi les agents de la CNIL, qui instruira le dossier. Les étapes de construction du dossier sont les mêmes que la procédure classique, mais la mise en œuvre est plus légère et rapide : le président de la formation restreinte statue seul, sans séance publique (à moins que l’organisme visé demande à être entendu). Le montant de la sanction ne peut pas dépasser 20 000 euros (contre 20 millions d’euros ou 4 % du chiffre d’affaires mondial), l’injonction avec astreinte est plafonnée à 100 euros par jour de retard, et les sanctions ne sont pas rendues publiques.
Même sans ce détail, la CNIL a quand même donné quelques statistiques. Par exemple, on sait que les amendes prononcées en 2022 allaient de 5 000 à 15 000 euros, et que la moitié étaient été accompagnées d’injonctions sous astreinte. Les acteurs visés et les thématiques étaient variés, comme l’utilisation de fichiers administratifs à des fins politiques ou la vidéosurveillance des salariés.
On peut en dire autant pour l’ensemble des 21 sanctions, qui ont « concerné des secteurs d’activité, des thématiques et des acteurs très divers ». Défaut d’information des personnes, non-respect de leurs droits et défaut de coopération avec la CNIL sont les manquements les plus fréquents. 7 sanctions concernent aussi un manquement dans la sécurité des données personnelles, 4 ont visé une mauvaise gestion des cookies et 3 des manquements en lien avec la prospection commerciale.
La CNIL évoque également son travail avec ses homologues européens. 3 des décisions rendues l’ont ainsi été en coopération avec ceux-ci, même s’ils ne sont pas nommés. En outre, elle a elle-même participé à l’examen de 18 projets de décision provenant de nos voisins européens, en lien avec des traitements de données qui pouvaient concerner des Français. Elle dit aussi avoir « participé activement » à 5 procédures engagées par le CEPD (Comité Européen de Protection des Données), dont au moins une contre Meta.
147 mises en demeure, un nouveau record
Les mises en demeure sont décidées par la présidence de la CNIL, pour se mettre en conformité dans un délai précis. Leur nombre a battu un nouveau record en 2022 : 147, contre 135 l’année précédente, 49 en 2020 et 42 en 2019.
Il faut y voir notamment l’influence du RGPD, qui a nécessité des rappels à l’ordre en nombre croissant. Par exemple, sur les 147 mises en demeure, 22 ont été adressées à des communes qui n’avaient pas désigné de DPO (data protection officer, délégué à la protection des données) : Achères, Auch, Bastia, Beaune, Bezons, Bruay-la-Buissière, Étampes, Gagny, Koungou, Kourou, Le Gosier, Le Robert, Montmorency, Montfermeil, Petit-bourg, Pierrefitte-sur-Seine, Saint-André, Saint-Benoît, Saint-Dizier, Sotteville-lès-Rouen, Villeneuve-Saint-Georges et Vitry-sur-Seine. Elles avaient quatre mois pour se mettre en règle et toutes ont nommé un représentant.
La CNIL rappelle également sa volonté d’être plus incisive sur les mises en demeure, comme en témoignait déjà la brusque élévation du nombre de procédures en 2021. Les principaux motifs ont été la prospection commerciale et la transmission de données à des partenaires commerciaux, le transfert des données vers les États-Unis, ainsi que les mesures de sécurité sur les sites web. D’ailleurs, 72 de 147 mises en demeure concernent au moins un manquement en matière de sécurité.
500 millions d’euros depuis le RGPD
Le Règlement général sur la protection des données est entré en application le 25 mai 2018 (voir notre article sur le RGPD en dix questions/réponses). En bientôt cinq ans, le montant total des amendes prononcées par les autorités de protection des données sur la base de ce texte a atteint la bagatelle de 2,5 milliards d’euros.
Ce montant comprend notamment les plus grosses amendes infligées en Europe, surtout par l’autorité irlandaise (en coopération avec ses homologues européens), dont des sanctions de 210 millions et 265 millions d’euros pour Facebook, et de 180 millions et 405 millions d’euros pour Instagram. Rappelons que les sièges européens des GAFAM sont tous situés en Irlande. En 2021, une amende record de 746 millions d’euros a été prononcée à l’encontre d’Amazon, en collaboration avec la CNIL.
Les sanctions de la CNIL, justement, représentent plus d’un cinquième du total, avec un peu plus de 500 millions d’euros. Parmi celles-ci, on trouve les trois prononcées contre Google : 50 millions, 100 millions puis 150 millions d’euros, respectivement en 2019, 2020 et 2021. Citons également, pour 2022, les 60 millions d’euros à l’encontre de Microsoft et les 8 millions contre Apple, la sanction de 60 millions d’euros contre Facebook en 2021 et celle de 35 millions d’euros contre Amazon en 2020.
Toutes ont été prononcées pour de diverses infractions au RGPD ou à la directive ePrivacy.
CNIL : un bilan record pour les sanctions en 2022
-
L’arrivée de la procédure simplifiée
-
147 mises en demeure, un nouveau record
-
500 millions d’euros depuis le RGPD
Commentaires (3)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 13/02/2023 à 15h01
Hum, je trouve qu’au contraire une publication pour des condamnations sur ce type de faits, seraient à plusieurs titre, bénéfiques:
Là, ce sont des condamnations connues des salons feutrés.
Le 13/02/2023 à 15h24
Allez encore un petit effort et on aura de quoi financer les retraites grâce au RGPD
Le 13/02/2023 à 15h31
question :
(CE. ou CC.)
* définitives