La CNIL fait le bilan de son année 2023, cinquième année après RGPD

Si la CNIL est née bien avant le RGPD, l'année 2018 est une date un peu particulière pour les autorités de régulation européenne puisque le règlement européen a revalorisé leur existence et leurs actions. Dans son rapport annuel 2023 [PDF], l'autorité fait un bilan de son action pendant cette cinquième année post-RGPD.

« Je n’ai rien à cacher mais vous n'avez pas à tout savoir de moi », c'est le titre du rapport annuel de la CNIL reprenant le titre du célèbre documentaire (Nothing to Hide) sur les effets de la surveillance de masse, tout en le complétant pour clarifier le message vis-à-vis des organismes que l'autorité doit contrôler.

16 551 plaintes traitées

La CNIL met en avant « un nombre record de plaintes reçues » (16 433) avec une augmentation de 35 % et 16 551 plaintes « rejetées ou closes » (la différence vient bien sûr de plaintes non traitées l'année d'avant). Elle explique avoir modernisé les outils de son infrastructure informatique, ce qui lui a permis l'instruction de ce très grand nombre de requêtes.

Cette gestion des requêtes est pourtant critiquée avec une longue liste de griefs, comme nous vous l'avions raconté en février dernier.

Dans le rapport, on peut aussi voir que plus de 3 000 plaintes ont été externalisées auprès d'un prestataire extérieur, Luminess. Sur son site, l'entreprise explique être « surtout connue pour ses solutions de digitalisation » après avoir été « spécialisée dans le travail d’imprimerie et de pré-presse » sous le nom de Jouve.

Des moyens toujours insuffisants

Dans l'avant-propos de son rapport, la présidente de la CNIL (récemment reconduite) Marie-Laure Denis souligne le manque de financements de l'autorité et explique que « pour remédier à des moyens qui restent insuffisants, la CNIL diffuse de nombreux outils pratiques pour aider les professionnels à assurer leur conformité et les particuliers à exercer leurs droits ».

Dans le document, la CNIL précise qu'en 2023 son budget était d'environ 26 millions d'euros dont environ 22 millions pour la masse salariale (288 emplois fin 2023) et 4 millions pour les dépenses de fonctionnement, d’investissement et d’intervention.

La CNIL souligne avoir mis en place une nouvelle offre d'accompagnement destinée aux « entreprises du numérique qui présentent un fort potentiel de développement économique ou d’innovation ».

Accompagnement de quelques entreprises précises

L'autorité propose de conseiller sur plusieurs mois des entreprises sélectionnées « sur les conditions de mise en œuvre de leurs traitements, ou de leurs projets, en lien avec leur cœur d’activité au regard de leurs obligations liées à la protection des données ».

Pour la première session, deux des trois entreprises sélectionnées se concentrent sur l'IA, Contentsquare et Hugging Face, Lifen s'intéressant pour sa part aux données médicales et à l'aide à la conduite d'études en santé.

« Explosion des demandes d'exercice des droits indirect »

Tout citoyen peut demander à la CNIL qu’elle vérifie le contenu d’un fichier dont la loi n’autorise pas la consultation directe (par exemple les fichiers de renseignement ou le fichier national des comptes bancaires et assimilés, Ficoba).

L'autorité explique avoir ouvert un téléservice dédié à ces « demandes d'exercice des droits indirect », qui a « suscité un grand engouement », la grande majorité (91 %) concernant le fichier des comptes bancaires et assimilés (FICOBA).

Au total, 20 810 demandes ont été prises en charge (contre 6 555 en 2022, soit une hausse de 217 %), plus de 1 600 rejetées, et 6 950 ont été vérifiées. Mais 1 600 demandes reçues en 2023 n'ont pas pu être examinées avant la fin de l'année.

La CNIL anticipe une augmentation de ces demandes en 2024 à cause des Jeux olympiques et paralympiques, puisque le recrutement des agents de sécurité nécessite la délivrance d'une habilitation ou d'un agrément après enquête administrative. Elle prévoit que les personnes candidates fassent des demandes en amont pour vérifier leur absence dans ce genre de fichier.

Plus de sanctions, mais un total moins élevé

Comme nous l'évoquions dans un premier bilan, la CNIL a prononcé deux fois plus de sanctions que l'année d'avant (42 en 2023 contre 21 en 2022) mais leur total est moins élevé : 89 179 500 euros en 2023 contre 101 277 900 euros l'an passé.

• • CNIL : un bilan record pour les sanctions en 2022

• • CNIL : baisse de 10 % du montant global des sanctions en 2023

Dans les 42 sanctions de 2023, la CNIL a prononcé 36 amendes et 4 rappels à l'ordre (par exemple contre des institutions publiques comme des ministères contre lesquels elle ne peut pas prononcer d'amende).

D'ailleurs, l'autorité explique que les acteurs sanctionnés se diversifient, les thématiques aussi. Elle indique avoir prononcé « des sanctions tant contre de petites entreprises que contre des multinationales et tant le secteur privé que le secteur public ».

La publicité en ligne, la collecte et l'utilisation des données de santé, la protection des droits des salariés et le traçage via des cookies déposés sans consentement sont les thématiques des sanctions mises en avant par l'autorité dans son rapport.