Le rapport annuel 2022 de la CNIL

23 mai 2023

Renforcement de l’accompagnement des entreprises et administrations, campagnes d’information du public et éducation au numérique des plus jeunes, plaintes et action répressive, future réglementation européenne sur la donnée : dans ce nouveau rapport, la CNIL revient sur les temps forts de l’année 2022.

La publication de son rapport d’activité permet à la CNIL de rendre compte de ses actions au regard de ses 4 grandes missions : informer et protéger le grand public, accompagner et conseiller les professionnels et les pouvoirs publics, anticiper et innover pour construire le numérique de demain, et enfin contrôler et sanctionner les manquements au règlement général sur la protection des données et à la loi.

 

Rapport annuel 2022 (PDF, 7,8 Mo) - Nouvelle fenêtre

 

Télécharger le rapport d'activité 2022 de la CNIL

Informer et protéger

Les actions menées cette année traduisent une nouvelle dynamique de communication entre la CNIL et ses publics. Plusieurs campagnes à destination du grand public ont été lancées en 2022 : « Tous ensemble, prudence sur Internet ! », un ensemble de ressources pour accompagner les enfants du CE2 au CM2, ainsi que deux spots radio diffusés pendant les vacances et qui ont touché plus de 8 millions d’auditeurs chacun. Le site web cnil.fr a enregistré un nouveau record d’audience, avec plus de 11 millions de visites, témoignant de l’intérêt des particuliers et des professionnels pour les nombreux contenus proposés.

Concernant la protection des personnes, pour la première fois depuis l’entrée en application du RGPD, la CNIL a traité plus de plaintes qu’elle n’en a reçues, ce qui a permis une diminution du stock. Elle a ainsi reçu 12 193 plaintes et traité 13 160 plaintes. Ce résultat est le fruit de deux ans d’efforts qui ont notamment permis l’ouverture d’un portail offrant aux usagers la possibilité de suivre leur dossier, de simplifier et de sécuriser les échanges avec la CNIL.

49 139

appels répondus lors des permanences téléphoniques

11 millions

de visites sur les sites web de la CNIL

13 425

plaintes traitées

Accompagner et conseiller

L’accompagnement des professionnels dans leur démarche de conformité est l’une des missions essentielles de la CNIL. Au-delà d’un accompagnement sectoriel et, dans certains cas, individuel, la CNIL a produit en 2022 de nouveaux outils parmi lesquels des guides, des référentiels, ou encore des recommandations. L’année a également été marquée par la publication de sa position sur le déploiement de caméras « augmentées » dans les espaces publics.

En outre, la CNIL a publié une mise à jour majeure de son MOOC Atelier RGPD, une formation gratuite et ouverte à tous. De nouveaux modules permettent de revenir sur les notions clés du RGPD et un nouveau module inédit s’adresse plus particulièrement aux collectivités territoriales. Une série de webinaires est venue compléter la « boîte à outils » CNIL sur des thèmes variés : santé, prospection commerciale, sécurité, etc.

Parmi les temps forts figure également le lancement d’un programme de déplacements en région, les « Journées RGPD ». De nouvelles rencontres sont prévues en 2023 dans plusieurs villes en métropole.

Enfin, forte d’une première expérience menée en 2021 et de son succès, la CNIL a proposé une seconde édition de son « bac à sable » données personnelles, qui a permis d’accompagner 10 projets numériques innovants dans le domaine de l’éducation (EdTech).

5

guides

7

référentiels

3

recommandations

453

dossiers d’autorisation en santé traités

62

jours de délai moyen d’instruction des demandes d’autorisation en santé

10

projets accompagnés via le « bac à sable » EdTech

Anticiper et innover

Pour détecter et analyser les technologies ou les nouveaux usages pouvant avoir des impacts importants sur la vie privée, la CNIL assure une veille dédiée sur laquelle elle a communiqué en publiant le programme de recherche des prochaines années du LINC (Laboration d’innovation numérique de la CNIL). Elle contribue ainsi au développement de solutions technologiques protectrices de la vie privée en conseillant les entreprises le plus en amont possible, dans une logique de protection de la vie privée dès la conception (privacy by design).

Dans le domaine de l’intelligence artificielle, la CNIL a porté une attention particulière au développement de produits ou services reposant sur des algorithmes gourmands en données, souvent personnelles, et dont l’usage nécessite le respect de certaines précautions. Dans ce contexte, elle a publié un ensemble de contenus pour tous les publics en 2022 et a annoncé, début 2023, la création d’un service dédié à l’IA.

Le bilan de l’année passée comporte également l’organisation de la première édition du Privacy Research Day, qui a réuni des chercheurs européens autour de la protection des données et généré de nombreuses contributions scientifiques.

4 000

participants

et 119

contributions scientifiques

1 700

participants à l’évènement air2022 sur le numérique éducatif

22

design patterns respectueux des données personnelles sur design.cnil.fr

Contrôler et sanctionner

En 2022, l’activité répressive de la CNIL a permis de confirmer les tendances de 2021, tant sur le nombre de mesures adoptées (21 sanctions et 147 mises en demeure), que par le montant cumulé des amendes, qui dépasse les 100 millions d’euros Depuis l’entrée en application du RGPD en 2018, le montant total des sanctions infligées dépasse ainsi le demi-milliard d’euros. Les organismes concernés par ces mesures sont de toutes tailles, y compris des géants du numérique, et appartiennent à une grande variété de secteurs.

Les procédures de sanctions ont bénéficié d’une importante réforme, avec la création d’une procédure simplifiée, adaptée aux dossiers ne présentant pas de difficulté juridique ou technique particulière, et qui permettra à la CNIL de mieux agir face aux nombreuses plaintes. Alors que pour la procédure classique, le montant des amendes peut s'élever jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, la sanction encourue dans le cadre d’une procédure simplifiée est de 20 000 euros maximum.

Picto contrôle

345

contrôles

21

sanctions

101 millions d’euros

d'amendes

147

mises en demeure