Sanctions et mesures correctrices : la CNIL présente le bilan 2022 de son action répressive
La CNIL présente le bilan annuel de son action répressive. Les tendances de 2021 sont confirmées en 2022, tant par le nombre de mesures adoptées (21 sanctions et 147 mises en demeure) que par le montant cumulé des amendes, qui dépasse à nouveau les 100 millions d’euros. L’année 2022 aura également été marquée par une réforme importante des procédures correctrices.
En ce début d’année, la CNIL a souhaité mettre en avant les actions menées dans le cadre de ses pouvoirs répressifs au cours de l’année 2022.
21 sanctions visant des thématiques et des secteurs d’activité variés
En 2022, 21 sanctions ont été prononcées par la CNIL, pour un montant de 101 277 900 euros. 13 d’entre elles ont été rendues publiques. Ces sanctions comportent 19 amendes (dont 7 avec injonctions sous astreinte) et 2 décisions de liquidation d’astreinte (c’est-à-dire le paiement d’une somme en raison du non-respect d’un ordre donné par la CNIL dans sa décision de sanction).
17 sanctions ont été prononcées par la formation restreinte de la CNIL, l’organe de la CNIL en charge de prononcer les sanctions, et 4 par son président seul, dans le cadre de la procédure de sanction simplifiée mise en place en 2022. Cette nouvelle procédure a notamment été créée pour traiter les dossiers ne présentant pas de difficulté particulière, et permettre ainsi à la CNIL de mieux agir face aux plaintes de plus en plus nombreuses reçues depuis l’entrée en application du RGPD.
Les décisions de sanction ont concerné des secteurs d’activité, des thématiques et des acteurs très divers. Parmi les manquements les plus fréquents figurent le défaut d’information des personnes, le non-respect de leurs droits et le défaut de coopération avec la CNIL. Sur ces 21 sanctions, un tiers comporte également un manquement en lien avec la sécurité des données personnelles. Enfin, 4 sanctions concernent une mauvaise gestion des cookies et autres traceurs et 3 contiennent des manquements en lien avec la prospection commerciale.
La CNIL a également adopté 3 décisions en coopération avec ses homologues européens, dans le cadre du guichet unique prévu par le RGPD. En parallèle, elle a examiné 18 projets de décision d’homologues européens relatifs à des traitements qui concernent notamment des français. La CNIL a par ailleurs activement participé à 5 procédures engagées au niveau du CEPD pour régler des litiges avec certains homologues sur des projets de décision, notamment concernant le groupe META.
À nouveau, un nombre record de mises en demeure (décision de la présidente de la CNIL ordonnant à un organisme de se mettre en conformité dans un délai fixé) a été atteint en 2022, avec 147 décisions prononcées. 22 décisions à l’encontre de communes n’ayant pas désigné de DPO ont été rendues publiques et 5 ont été adoptées dans le cadre de la coopération européenne.
La CNIL poursuit ainsi l’augmentation conséquente du nombre de mises en demeure adoptées, engagée en 2021.
Ces mises en demeure ont concerné des secteurs et des problématiques variés. Outre l’obligation de désigner un DPO, elles ont également porté sur la prospection commerciale et la transmission de données à des partenaires commerciaux, sur le transfert des données vers les Etats-Unis (par le biais de l’outil Google Analytics) ou encore sur les mesures de sécurité de sites web. Plus généralement, en matière de sécurité des données, une part importante des décisions adooptées comporte au moins un manquement sur ce sujet (72 mises en demeure).
En parallèle de ces activités, la CNIL a clos 87 dossiers correspondant à des procédures de sanction et de mise en demeure à l’issue, notamment, de l’examen des actions prises par les organismes pour se mettre en conformité.
Bilan des sanctions prononcées depuis l’entrée en application du RGPD
Au niveau européen, depuis l’entrée en application du RGPD, les amendes prononcées par les autorités de protection des données sur la base de ce texte dépassent le montant total de 2,5 milliards d’euros. L’autorité irlandaise, en coopération avec ses homologues européens, a notamment infligé plusieurs amendes importantes à l’encontre du groupe META (deux amendes en lien avec les traitements de publicité ciblée, de 210 millions d’euros à l’encontre de Facebook et de 180 millions d’euros à l’encontre d’Instagram ; une sanction de 405 millions d’euros pour le service Instagram, portant sur le traitement des données de mineurs, et une amende de 265 millions d’euros visant Facebook, relative à l’outil d’importation de contacts sur la plateforme « data scrapping »).
En 2021, l’autorité luxembourgoise, en collaboration étroite avec la CNIL, avait pour sa part adopté, à l’encontre d’Amazon, une amende de 746 millions d’euros. Cette sanction portait sur les traitements de publicité ciblée et avait pour originie une plainte de LQDN.
Pour sa part, sur cette même période, la CNIL a prononcé des sanctions pour un montant cumulé d’un peu plus d’un demi-milliard d’euros pour des manquements commis tant au RGPD qu’à la la directive ePrivacy (cookies). Les organismes concernés par ces mesures sont de toutes tailles, y compris des géants du numérique (voir plus bas), et appartiennent à une grande variété de secteurs.