Le budget de la CNIL fait débat à l’Assemblée

Un rapport parlementaire publié en octobre demande « a minima » la « stabilisation » de la dotation de la CNIL. L'autorité évoque pourtant souvent son manque de financements et se voit régulièrement critiquée pour l'engorgement du traitement des demandes.

Martin Clavey

Le 22 novembre à 11h58

4 min

Société numérique

Société

Le 19 octobre, les députés Charles de Courson (du groupe LIOT) et Marie-Christine Dalloz (du groupe Les Républicains), tous deux faisant partie de la commission des finances de l'Assemblée, ont déposé un rapport à l'occasion de la discussion sur la Loi de finance 2025.

Les budgets des autorités indépendantes de protection des libertés pointés du doigt

Celui-ci dénonce, entre autres, l'augmentation du budget du programme de crédits alloué aux autorités indépendantes exerçant leurs missions dans le champ de la protection des droits de l’homme et des libertés publiques et individuelles.

« Il progresse de 14,3 millions d’euros en AE [ndlr : autorisations d’engagement, limite supérieure des dépenses autorisées] (+ 10,2 %) et même de 18,4 millions d’euros (+ 13,3 %) par rapport aux crédits demeurant ouverts pour 2024 après le décret du 21 février 2024 portant annulation de crédits et le décret du 18 avril 2024 portant virement de crédits », pointent les députés.

Une demande de « stabilisation de sa dotation, voire une diminution » de la dotation de la CNIL

Première autorité listée, la CNIL. Les deux députés soulignent que le Projet de loi de finance 2025 présenté par le gouvernement et en cours de discussions au Parlement prévoit l'augmentation de la dotation de l'autorité de « de 6,8 % pour s’élever à 30,6 millions d’euros ».

Ils expliquent que « cette hausse doit permettre notamment à la CNIL de poursuivre son programme initié en 2023 de refonte de son système d’information, de développement d’outils d’information et d’externalisation du traitement de certaines plaintes ».

Mais dans ce rapport, Marie-Christine Dalloz relève que « ses moyens ont augmenté de 52 % en cinq ans pour passer de 18,8 millions d’euros en LFI 2019 à 28,6 millions d’euros en 2024 ». Elle pointe aussi l'augmentation des effectifs au sein de l'autorité : « le plafond d’emplois de l’autorité est passé de 189 ETP en Loi de finance initiale (LFI) 2015 à 301 ETP dans le Projet de loi de finance (PLF) 2025. Elle bénéficie de 8 ETP supplémentaires dans le PLF 2025 par rapport à la LFI 2024 ».

Marie-Christine Dalloz explique, dans le rapport, avoir « bien conscience de l’élargissement des missions et de l’augmentation du nombre de réclamations que doit traiter l’autorité » et saluer « la stratégie mise en place pour faire face à ce surcroît d’activité (audits et réforme des procédures, modernisation des outils et du système d’information, constitution de cellules d’aide à l’instruction, externalisation du traitement de certaines plaintes simples…) ».

Mais elle exprime son souhait que « les crédits supplémentaires attribués à la CNIL, notamment pour se réformer, se traduisent enfin, a minima, par une stabilisation de sa dotation, voire une diminution, à l’instar de ce qui est demandé pour 2025 à l’ensemble des ministères, qui eux aussi voient leurs missions augmenter avec moins de moyens pour les assumer ».

De plus en plus de fuites, un manque de budget pointé par l'autorité

Cette demande de stabilisation, voire de diminution, se fait alors que nous relevons toujours plus de fuites de données chez diverses entreprises françaises. Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraite, RED by SFR, Meilleurtaux, Ornikar, Free (fixe et mobile), Picard, Molotov, et récemment Auchan ainsi que le Point.

Dans son bilan de l'année 2023, la présidente de la CNIL (récemment reconduite), Marie-Laure Denis soulignait le manque de financements de l'autorité. Elle mettait en avant son volet accompagnement pour essayer d'y palier :« pour remédier à des moyens qui restent insuffisants, la CNIL diffuse de nombreux outils pratiques pour aider les professionnels à assurer leur conformité et les particuliers à exercer leurs droits ».

Mais, comme l'expliquaient nos collègues de France Info, La CNIL fait moins peur. Nous l'évoquions aussi en début d'année, l'autorité est accusée de ne pas remplir « sa mission de veiller au respect du RGPD ».

Commentaires (10)

Zebulon84

Le 22/11/2024 à 13h29

Deux pistes :
— Renommer la CNIL en « Police du numérique », pour que son budget passe mieux auprès de ces élus de droite,
— Autoriser la « Police du numérique » à mettre plus d’amende, de plus fort montant, pour compenser son augmentation de budget, et justifier ce nouveau nom.

fdorin Abonné

Le 22/11/2024 à 13h37

Pourtant, raisonnement simpliste, mais :
- plus de budget => plus de moyen pour traiter les demandes
- plus de moyen pour traiter les demandes => plus de demandes traitées
- plus de demandes traitées => plus de contrôles réalisés
- plus de contrôles réalises => plus de sanctions
- plus de sanctions => plus d'amendes
- plus d'amendes => plus d'argent pour les caisses de l'Etat
- plus d'argent pour les caisses de l'Etat => plus de budget

Qui plus est, cela permettrait de redorer un peu le blason de la CNIL vis-à-vis du traitement des plaintes et des délais de traitement. Car il faut dire ce qui est, de ce point de vue... l'image que l'on peut voir sur les réseaux sociaux et les différents témoignages sont plutôt négatifs. Et j'ai l'impression que la CNIL fait de moins en moins peur (ce dernier point, c'est juste mon ressentis, attention).

Certains ne font même pas de dépôts de plainte pour violation du RGPD, pensant que cela ne sert à rien.

CharlesP. Abonné

Le 22/11/2024 à 16h39

Il suffit de 2 amendes à 20 millions d'euros par an pour rembourser le budget de la CNIL. On va bien trouver quelqu'un à pruner, non ?

xillibit Abonné

Le 25/11/2024 à 09h21

Vu que le RGPD dit que l'amende doit être de 2% du chiffre d'affaires pour trouver 20 millions d'euros c'est des gros clients

CharlesP. Abonné

Le 25/11/2024 à 10h18

Non, c'est soit 20 millions soit 2%, le plus gros montant étant retenu.

La petite entreprise du coin l'amende max c'est 20 millions (bon, elle l'aura jamais, et heureusement) alors que Google l'amende max c'est une douzaine de milliards.

Le 25/11/2024 à 12h32

Les gros clients ont aussi des gros avocats (et nombreux).
Du coup l'argent, si l'état le récupère ça sera très long, et après des procédures très couteuses aussi qui plomberont la rentabilité intrinsèque de l'opération.

C'est vrai pour l'état mais c'est vrai partout : En dehors des actions collectives, les "petits" ont rarement de profits à tirer d'actions en justice face à des entreprises (surtout les plus grandes). C'est plutôt une action de la dernière chance. Un exemple qui me vient en tête c'est le non respect des délais de paiement aux sous-traitants par les multinationales, c'est encore en vigueur actuellement malgré les textes & obligations sur le sujet.

Dj Abonné

Le 22/11/2024 à 17h10

Sauf que quand on regarde le travail actuel de la CNIL c'est vraiment pas de mettre des amendes. Ils font plus de "l'accompagnement" = les entreprises continuent a faire de la merde mais c'est encadré par la CNIL qui leur demande d’essayer de progresser vers un futur où elles respecteront peut-être la loi.
Et en échange la CNIL leur donne l'amnistie.

ImpactID Abonné

Le 23/11/2024 à 10h39

Il faut dire que le nombre et le montant des sanctions financières sont très faibles. (On en est toujours à faire de la pédagogie ?). Pour les entreprises B2C, à part une exposition médiatique négative très temporaire et limitée à la part bien informée de sa clientèle, qu'est ce que une entreprise risque réellement à ne pas respecter la réglementation ? Pas grand chose finalement.
Les multiples scandales des 3 dernières années auraient dus être associés à des centaines de millions d'euros d'amendes. La CNIL devrait toucher directement une côte part de ces montants (pas possible en droit français je crois pour un autorité administrative, tout revient au budget général de l'état me semble-il).
L'augmentation des pouvoirs de la CNIL soulève des questions légitimes (judiciarisation potentielle, compétitivité, etc.), mais si on voulait, on pourrait.

xillibit Abonné

Le 25/11/2024 à 09h23

En cas de manquement au RGPD c'est 2% du chiffre d'affaires, la CNIL en 2024 a mis deux amendes à 800000 € chacune : https://www.cnil.fr/fr/les-sanctions-prononcees-par-la-cnil

Methio Abonné

Le 25/11/2024 à 16h17

La CNIL peut peut-être se faire financer le triple par Microsoft après avoir validé l'hébergement des données de santé sur Azure ?