Connexion
Abonnez-vous

41 sanctions prononcées par la CNIL entre 2014 et 2016

Emoi, émoi, émoi ?

41 sanctions prononcées par la CNIL entre 2014 et 2016

Le 31 août 2017 à 10h05

Le site data.gouv.fr diffuse de nombreuses données provenant d’autorités administratives. La CNIL n’y coupe pas. Un tableau, laconique, relève le nombre de sanctions prononcées par celle-ci entre 2014 et 2016. Et c’est peu de le dire, les chiffres semblent bien faibles.

Ce jeu de données détaille en effet le nombre de sanctions, « prononcées par la formation restreinte de la CNIL, notifiées chaque année » avec une ventilation par type de décision, relève la page de data.gouv.fr consacrée à la Commission informatique et libertés.

Entre 2014 et 2016, ainsi, la CNIL n’a prononcé que 2 sanctions pécuniaires non publiques et 13 décisions publiques de ce type. Les avertissements non publics et publics, 2 autres sanctions prévues par la loi de 1978, sont respectivement de 13 et 10. Enfin, seules 3 relaxes ou non-lieu ont été décidées pour 2014 (les données pour 2015 et 2016 n’étant pas renseignées). Au total, on aboutit à 41 sanctions connues sur les trois années considérées.

Un autre jeu de données détaille le nombre de mises en demeure. Les chiffres sont plus importants. Il y a eu 62 en 2014, 93 en 2015 et 82 en 2016, soit 237 sur les trois années concernées.

L’avant et l’après loi Lemaire

Ce déséquilibre entre mises en demeure, avertissements et sanctions pécuniaires s’explique en partie par les contraintes qui prévalaient antérieurement à la loi Lemaire. Avant le 7 octobre 2016, lorsqu’une entreprise violait la loi de 1978, cela pouvait engendrer une mise en demeure ou, dans l’hypothèse d’une faille passée par exemple, un avertissement. La sanction pécuniaire n’intervenait qu’après le non-respect d’une mise en demeure. 

La loi sur la République numérique a revu l’arbre décisionnel. Outre une mise en demeure, la violation de la loi de 1978 peut désormais entrainer directement un avertissement, une sanction pécuniaire ou une injonction de cesser le traitement. Et c’est la société Hertz France qui a ouvert le bal le 27 juillet dernier, puisque les faits du dossier étaient postérieurs à la loi Lemaire.

En d’autres termes, la CNIL a gagné en nervosité sur le papier. Pour les huit premiers mois de l’année 2017, seuls cinq sanctions et deux avertissements publics ont été décidés par la Commission, apprend-on sur Legifrance. Le premier groupe concerne donc Hertz France, mais aussi la société BDE, une société libérale à responsabilité limitée non désignée, Facebook et Allocab. Le second, OuiCar et Carrefour Banque.

CNIL décisions

Des sanctions revues à la hausse

La loi Lemaire a revu à la hausse le plafond des sanctions prononcées par la CNIL. S’il doit toujours être proportionné à la gravité du manquement commis et aux avantages tirés, la formation restreinte de la Commission nationale de l'informatique et des libertés peut désormais aller jusqu’à 3 millions d’euros, contre précedemment 150 000 euros lors du premier manquement et 300 000 euros en cas de récidive dans les cinq années.

Et encore, ce n’est qu’un avant-goût de la réforme engendrée par le futur règlement européen sur les données personnelles applicable dès le 25 mai 2018. L’article 83 du RGPD prévient en effet que la violation de certaines dispositions du texte engendrera des amendes administratives « pouvant s'élever jusqu'à 20 000 000 euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu ». Tel sera le cas dans l’hypothèse du non-respect d'une injonction, d'une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l'autorité de contrôle. 

21 412 plaintes entre 2014 et 2016

Au final, chacun appréciera le poids de ces décisions. Remarquons spécialement les critiques adressées par Benjamin Sonntag, par ailleurs l’un des cofondateurs de la Quadrature du Net. « Cette autorité est un échec cuisant, ne sert à rien puisque ne punit pas... » estime-t-il sur son compte personnel, alors que « des centaines de boites abusent de fichiers illégaux ». 

Pour apprécier le poids de ces 237 mises en demeure et 41 sanctions entre 2014 et 2016, on peut d'ailleurs exploiter un autre ensemble de données : sur la même période, la CNIL a en effet été destinataires de 21 413 plaintes. Soit un bel effet d’entonnoir ! 

cnil plaintes

« La sanction n’est pas l’instrument unique », relativise la CNIL

Contactée, la CNIL nous indique que son objectif premier « est la mise en conformité ». Dans ce périmètre, « la sanction n’est pas l’instrument unique pour y parvenir, mais plutôt un des outils à la disposition du régulateur ». La commission insiste sur ce point : « on ne peut réguler uniquement par la sanction. L’accompagnement des organismes (CIL, pack de conformité, diffusion bonnes pratiques, etc.) concourt à cette mise en conformité ».

Dans son rapport 2013, la même signalait avoir reçu cette année-là 5 638 plaintes et réalisé 414 contrôles. S’il n’y a eu que 57 mises en demeure et 14 procédures de sanction, le document indique que « dans 99 % des cas, l’intervention de la CNIL [s’est] traduit par une suite favorable pour le demandeur ». En 2016, elle insistait sur la même veine, considérant que « le prononcé de sanctions par la CNIL permet de sanctionner des organismes qui persistent dans des comportements répréhensibles, et constitue donc un instrument de dissuasion important ».

D’autres fois, remarquons, des plaintes tombent telle l’épée dans l’eau. Voilà plusieurs mois, un internaute avait dénoncé auprès de la CNIL le recours par plusieurs sites du GESTE, à savoir lexpress.fr, lemonde.fr et lefigaro.fr à des scripts permettant de détecter AdBlock Plus, sans information ni consentement préalable. En avril dernier, la CNIL a classé cette plainte estimant qu’« en l’état de nos constatations, il apparait qu’à ce jour aucun de ces sites n’a recours à un script de détection d’un bloqueur de pub ». Plus exactement, il y a eu bien un système visant à détecter l'usage de ces adblocks. Seulement, avant cette réponse de la Commission, les sites se sont mis en conformité.

Commentaires (11)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

FEAR !

votre avatar

J’ai pas mal d’estime pour la CNIL car je trouve qu’ils prennent leurs rôles très au sérieux et font globalement du bon boulot.



Par contre je les trouve trop sympas, à toujours laisser un délai de mise en conformité avant sanction !     

Si le problème vient d'une erreur involontaire ou d'une incompétence, je dirai à la limite, mais dans des cas (presque tous...) où l'erreur est délibéré c'est totalement injuste.

Le dealer du coin ne verra jamais un flic lui dire "tu as deux mois pour écouler ton stock sinon je te coffre", et je n'ai jamais reçu de prune après m'être fait flasher disant "ça ira pour cette fois". Sans dec !



 



Tant que personne ne saisit la CNIL une boite peu violer la loi en toute impunité et juste attendre un avertissement (comme MS avec W10 tiens...).
votre avatar

C’est un comportement de transition. D’abord une phase globale où on est gentil (qui peut encore durer un moment cependant…). Ensuite lorsque dans l’ensemble le “comportement désiré” est bien compris de “tout le monde” (on a encore un fossé entre l’actuel et le souhaité) alors là on pourra passer dans le répressif. Cependant dans de nombreux cas actuel on est plus dans le domaine du judiciaire que dans de l’autorité administrative.

votre avatar

Ils auraient pu aller jusqu’à 42 ! <img data-src=" />

votre avatar

<img data-src=" />

votre avatar

Cnul

votre avatar

<img data-src=" />

votre avatar



Au final, chacun appréciera le poids de ces décisions.





Alors, la CNIL: croquemitaine ou poupée de chiffon ? épouvantail ou miroir aux alouettes ?



C’est un reportage d’enquête exclusive.



(jingle)

votre avatar



… la violation de certaines dispositions du texte engendrera des amendes…



&nbsp;

C’est sûr que s’il y a viol, il y a engendrement. Mais c’est quand même dingue d’être obsédé à ce point pour étaler au monde entier son besoin de copuler, et accessoirement son manque de vocabulaire. “Déclenchera” était bien plus indiqué.

<img data-src=" />&nbsp;

votre avatar







Liara T’soni a écrit :



Par contre je les trouve trop sympas, à toujours laisser un délai de mise en conformité avant sanction !

[…]



Le dealer du coin ne verra jamais un flic lui dire "tu as deux mois  pour écouler ton stock sinon je te coffre", et je n'ai jamais reçu de  prune après m'être fait flasher disant "ça ira pour cette fois". Sans dec !







Ce n’est peut-être pas toujours encadré par la loi. Une faille de sécurité c’est hors la loi ?


votre avatar

…Entre 2014 et 2016, ainsi, la CNIL n’a prononcé que 2 sanctions pécuniaires …



“m’man..j’ai peur”* !

(peuh)



* doivent se dire les sociétés contrevenantes

41 sanctions prononcées par la CNIL entre 2014 et 2016

  • L’avant et l’après loi Lemaire

  • Des sanctions revues à la hausse

  • 21 412 plaintes entre 2014 et 2016

  • « La sanction n’est pas l’instrument unique », relativise la CNIL

Fermer