En cas de manquements au RGPD ou à la loi Informatique et Libertés, la formation restreinte de la CNIL (commission nationale de l’informatique et des libertés) est le régulateur des données personnelles :

• C’est une autorité administrative indépendante, composée d’un collège de 18 membres et d’une équipe d’agents contractuels de l’État.
  *Elle accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits.
• Si vous pensez que vos données personnelles sont utilisées de manière abusive, ou si vous pensez que vos droits ont été violés, vous pouvez contacter la CNIL.

En janvier 2023, la CNIL a présenté le bilan annuel de son action répressive de 2021 et 2022. Les tendances de 2021 sont confirmées en 2022, tant par le nombre de mesures adoptées (21 sanctions et 147 mises en demeure), que par le montant cumulé des amendes, qui dépasse à nouveau les 100 millions d’euros. L’année 2022 a également été marquée par une réforme importante des procédures correctrices.

Dans le détail, en 2022, 21 sanctions ont été prononcées par la CNIL, pour un montant de 101 277 900 euros. 13 d’entre elles, ont été rendues publiques :

• Ces sanctions comportent 19 amendes (dont 7 avec injonctions sous astreinte) et 2 décisions de liquidation d’astreinte (c’est-à-dire le paiement d’une somme, en raison du non-respect d’un ordre donné par la CNIL dans sa décision de sanction).

Les décisions de sanction ont concerné des secteurs d’activité, des thématiques et des acteurs très divers : parmi les manquements les plus fréquents figurent le défaut d’information des personnes, le non-respect de leurs droits et le défaut de coopération avec la CNIL.

• Sur ces 21 sanctions, un tiers comporte un manquement en lien avec la sécurité des données personnelles.
• 4 sanctions concernent une mauvaise gestion des cookies et autres traceurs.
• 3 contiennent des manquements en lien avec la prospection commerciale.

La CNIL a également adopté 3 décisions en coopération avec ses homologues européens, dans le cadre du budget unique prévu par le RGPD.

• Elle a examiné 18 projets de décision d’homologues européens relatifs à des traitements qui concernent notamment des Français.
• Elle a participé à 5 procédures engagées au niveau du CEPD (Comité européen de la protection des données), comité qui a pour mission principale de veiller à l’application du RGPD dans tous les pays membres de l’UE.
• La participation de la CNIL concernait les litiges avec certains homologues sur des projets de décision, notamment concernant le groupe Meta (Facebook, Instagram et WhatsApp), près de 2,5 milliards d’euros au niveau européen, sans oublier l’autorité luxembourgeoise à l’encontre d’Amazon (746 millions d’euros).

En 2022, 147 mises en demeure et de nombreuses mises en conformité : un nombre record de mises en demeure, ordonnant à un organisme de se mettre en conformité dans un délai fixé. 22 décisions à l’encontre de communes n’ayant pas désigné de DPO (délégué à la protection de données) ont été rendues publiques et 5 ont été adoptées dans le cadre de la coopération européenne.

Ces mises en demeure ont concerné des secteurs et des problématiques variés : elles ont porté sur la prospection commerciale, sur le transfert des données vers les États-Unis ou encore sur les mesures de sécurité de sites web.

• En 2023, la CNIL a rendu dix nouvelles décisions dans le cadre de sa nouvelle procédure de sanction simplifiée : elle a ainsi sanctionné, pour un montant total de 97 000 euros d’amendes des acteurs privés et publics pour des manquements à l’obligation de répondre aux demandes de la CNIL ;
• À la minimisation des données (géolocalisation et vidéosurveillance continue et permanente des salariés) ;
• À l’information sur le traitement mis en œuvre et ses finalités ;
• À l’obligation de respecter les droits des personnes et notamment de répondre à une demande d’opposition.
• Ces affaires ne présentent pas une difficulté particulière et une amende pouvant aller jusqu’à 20 000 euros peut être prononcée dans le cadre de la procédure de sanction simplifiée. Elle permet à la CNIL d’être plus réactive.

Les principales sanctions prononcées en 2023
– Défaut de coopération avec la CNIL, non-respect du droit à l’effacement (amende de 5 000 euros et injonctions).
– Pour les communes, défaut de désigner un délégué à la protection des données (amende de 3 000 euros).
– Société de location de Scooters électriques en libre-service : non-respect du principe de minimisation des données entre le responsable de traitement et le sous-traitant (amende de 15 000 euros).
– Société d’aide à domicile pour les personnes âgées : conformité tardive en matière d’anonymisation des données (astreinte de 10 000 euros).
– Société éditant un logiciel de reconnaissance faciale, absence de réponse à l’injonction. Liquidation de l’astreinte de 5 200 000 euros.
– Chirurgien-dentiste : non-respect du droit d’accès, défaut de coopération avec la CNIL (amende de 4 500 euros et injonction).
– Société de transport de fret aérien : minimisation des données à caractère personnel, collecte ou traitement de données relatives aux infractions, aux condamnations et aux mesures de sureté, défaut de coopération avec la CNIL (amende de 200 000 euros).
– Société ayant pour activité le développement et la mise en œuvre de logiciels de surveillance des employés : défaut de coopération avec la CNIL (amende de 20 000 euros).

Dans ces 10 décisions de procédure simplifiée, deux sujets ressortent particulièrement, l’enregistrement de la géolocalisation des véhicules de salariés sans leur consentement et la vidéosurveillance des salariés qui filme, de manière constante, les salariés à leur poste de travail. La CNIL rappelle que c’est une atteinte excessive à la liberté d’aller et venir et au droit à la vie privée des salariés.

Références

• https://www.cnil.fr/fr/la-cnil-prononce-dix-nouvelles-sanctions-dans-le-cadre-de-sa-procedure-simplifiee
• https://www.cnil.fr/fr/les-procedures-de-sanction
• https://www.cnil.fr/fr/sanctions-et-mesures-correctrices-la-cnil-presente-le-bilan-2022-de-son-action-repressive