Sanctions et mesures correctrices : la CNIL présente le bilan 2023 de son action répressive
En 2023, l’activité répressive de la CNIL se caractérise par un accroissement du nombre de mesures adoptées. Elle a ainsi a prononcé 42 sanctions, pour un montant de près de 90 millions d’euros. 168 mises en demeure et 33 rappels aux obligations légales ont également été notifiés.
La politique initiée en matière répressive depuis cinq ans, privilégie la mise en conformité à la mesure punitive. Les chiffres de la chaîne répressive en 2023 confirment cette approche. Les services de la CNIL ont ainsi instruit plus de 16 000 plaintes, procédé à 340 contrôles et, in fine, ce sont 168 mises en demeure et 42 sanctions qui ont été prononcées.
Pour autant, le nombre de sanctions est en nette croissance, en raison de l’effet conjugué de la mise en œuvre de la procédure dite de « sanctions simplifiées », d’un accroissement des réclamations et de la coopération européenne.
Diversification des thématiques et des acteurs sanctionnés
En 2023, 42 sanctions ont été prononcées par la CNIL, pour un montant de 89 179 500 euros. 18 sanctions ont été adoptées par la formation restreinte de la CNIL, l’organe de la CNIL en charge de prononcer les sanctions, et 24 par son président seul, dans le cadre de la procédure de sanction simplifiée mise en place en 2022. Ces sanctions comportent 36 amendes (dont 14 avec injonctions sous astreinte), 2 décisions de liquidation d’astreinte (c’est-à-dire le paiement d’une somme en raison du non-respect d’un ordre donné par la CNIL dans sa décision de sanction) et 4 rappels à l’ordre. 14 de ces décisions ont été rendues publiques.
Bilan des sanctions prononcées par la formation restreinte
Publicité et commerce en ligne, sécurité, géolocalisation des véhicules, droits des salariés ou encore traitement des données de santé : les décisions de sanction ont porté sur des thématiques variées et ont concerné des acteurs de taille et de secteurs divers. En effet, les sanctions ont aussi bien été prononcées contre de petites entreprises qu’à l’encontre de multinationales et ont concerné tant le secteur privé que le secteur public.
S’agissant des thématiques principales des décisions, la CNIL a rappelé dans plusieurs sanctions d’ampleur le principe selon lequel le démarchage publicitaire, qu’il prenne la forme d’un message électronique ou bien celle d’une publicité ciblée sur un site web, ne peut se faire que lorsque la personne concernée a préalablement donné son consentement.
La CNIL a également rappelé à l’ordre deux ministères, pour avoir utilisé les coordonnées des agents publics pour leur adresser un message communiquant sur le projet de réforme des retraites.
Enfin, en termes de surveillance des salariés, la CNIL a sanctionné des traitements de données mis en œuvre par des employeurs en méconnaissance du droit au respect de la vie privée des salariés.
Six des décisions de sanction adoptées l’ont été en coopération avec les homologues européens de la CNIL, dans le cadre du guichet unique prévu par le RGPD. En parallèle, la CNIL a examiné 5 projets de décision d’homologues européens relatifs à des traitements qui concernent notamment des français. La CNIL a par ailleurs activement participé à 2 procédures de règlement des litiges engagées au niveau du Comité européen de la protection des données (CEPD) concernant le groupe META et la société TIK TOK ainsi qu’à une procédure d’avis d’urgence du CEPD concernant également le groupe META.
Bilan de la procédure de sanction simplifiée
2023 est l’année de la montée en puissance de la procédure de sanction simplifiée. C’est ainsi que parmi les 42 sanctions adoptées cette années, 24 d’entre elles (12 amendes et 12 amendes et injonctions) ont été prises par le président de la formation restreinte pour un montant total de 229 500 euros.
Principal manquement retenu dans le cadre de la procédure simplifiée, le défaut de coopération avec la CNIL, qui a concerné 15 organismes (acteurs publics et privés) sanctionnés pour n’avoir pas répondu à ses sollicitations.
Le manquement relatif à la sécurité des données personnelles a été retenu à l’encontre de 7 organismes qui n’avaient pas mis en œuvre toutes les mesures nécessaires pour assurer la sécurité des données, comme l’utilisation d’un protocole http, qui ne permet pas le chiffrement des données entre le client et le serveur, ou encore le manque de robustesse des mots de passe ou leur stockage en clair.
Par ailleurs, la procédure de sanction simplifiée confirme son efficacité pour répondre aux attentes de plaignants. Ce sont ainsi 17 décisions qui ont permis de répondre par la voie répressive à une plainte déposée auprès de la CNIL. Parmi ces décisions, plusieurs ont porté sur la géolocalisation des véhicules, la vidéosurveillance des salariés, ou les droits des personnes. S’agissant des droits des personnes en particulier, la CNIL a sanctionné 8 organismes pour ne pas avoir fait droit à des demandes d’opposition et de droits d’accès.
168 mises en demeure et de nombreuses mises en conformité
En 2023, la CNIL a adopté un nombre record de mises en demeure (décision de la présidente de la CNIL ordonnant à un organisme de se mettre en conformité dans un délai fixé) avec 168 décisions prononcées.
Le recours à cette mesure efficace pour obtenir la mise en conformité des organismes augmente depuis 2021.
Ces mises en demeure ont également concerné des secteurs et des problématiques variés, qui recoupent celles abordées dans le cadre des procédures de sanctions telles que l’exercice des droits, le défaut de coopération avec la CNIL et la géolocalisation des véhicules.
Par ailleurs, deux séries de décisions ont également été adoptées sur des thématiques spécifiques :
- des mises en demeures ont été adoptées à l’encontre de 39 communes qui avaient mis en place des lecteurs automatisés de plaques d’immatriculation (dispositif « LAPI ») pour des finalités de police administrative et judiciaire (par exemple, des infractions au code de la route). Or, la CNIL a relevé que seuls les services de police nationale ou de gendarmerie – et non les communes – pouvaient mettre en œuvre de tels dispositifs.
- en matière de cybersécurité, une série de contrôles en lien avec la sécurité des sites web a principalement porté sur des sites web d’organismes publics particulièrement visités par les internautes français (par exemples, ceux des régions, communes ou communautés de communes). À l’issue de ces contrôles, 39 mises en demeure ont été adressées à des organismes qui n’avaient pas mis en place le protocole de communication sécurisé HTTPS sur leur site web.