Moins de sanctions, mais plus de mises en demeure, tel est le bilan de la Cnil en 2022. La Commission a néanmoins infligé des amendes pour un montant total de 100 millions d’euros.
101 277 900 euros. C’est le montant cumulé des amendes émises par la formation restreinte de la CNIL en 2022 (en diminution par rapport à 2021 qui a culminé à 214 M€). Le régulateur a présenté le bilan annuel de son action répressive et les tendances de 2021 se sont confirmées en 2022. Ce sont ainsi pas moins de 21 sanctions et 147 mises en demeure qui ont été prononcés. Parmi les sanctions, 13 d’entre elles ont été rendues publiques; elles comportent 19 amendes (dont 7 avec injonctions sous astreinte) et 2 décisions de liquidation d’astreinte (c’est-à-dire le paiement du solde d’une astreinte).
17 sanctions ont été prononcées par la formation restreinte de la Cnil, l’organe en charge de prononcer les sanctions, et 4 par son président seul, dans le cadre de la procédure de sanction simplifiée mise en place en 2022. Cette dernière a en effet été créée pour traiter les dossiers ne présentant pas de difficulté particulière, et donner à la Cnil les moyens de mieux agir face aux plaintes de plus en plus nombreuses reçues depuis l’entrée en application du RGPD. Parmi les manquements les plus fréquents figurent le défaut d’information des personnes, le non-respect de leurs droits (le dernier exemple en date étant Free sanctionné à hauteur de 300 000 euros) et le défaut de coopération avec la Cnil. Sur ces 21 sanctions, un tiers comporte également un manquement en lien avec la sécurité des données personnelles. Enfin, 4 sanctions concernent une mauvaise gestion des cookies et autres traceurs et 3 contiennent des manquements en lien avec la prospection commerciale (à l’instar d’Accor condamné à 600 000 euros d’amende).
147 mises en demeure, un record
Concernant les mises en demeure – des décisions de la présidente de la Cnil ordonnant à un organisme de se mettre en conformité dans un délai fixé – le record a été encore une fois battu avec 147 décisions prononcées. 22 d’entre elles vont à l’encontre de communes n’ayant pas désigné de DPO. Outre ce manquement au RGPD, les décisions concernent la prospection commerciale et la transmission de données à des partenaires commerciaux, le transfert des données vers les Etats-Unis (par le biais de l’outil Google Analytics) ou encore sur les mesures de sécurité de sites Web. Sur la question de la sécurité des données, une part importante des décisions adoptées comporte au moins un manquement sur ce sujet (72 mises en demeure).
La Cnil a battu son propre record en termes de mises en demeure pour l’année 2022. (Crédit : Cnil)
Dans le cadre du guichet unique prévu par le RGPD, la Commission a également adopté 3 décisions en coopération avec ses homologues européens et elle a examiné pas moins de 18 projets de décision d’homologues européens relatifs à des traitements qui concernent notamment des Français. De même, elle a activement participé à 5 procédures engagées au niveau du Comité européen de la protection des données (CEPD) pour régler des litiges avec certains homologues sur des projets de décision, notamment concernant Meta, la maison-mère de Facebook, Instagram et WhatsApp.
Les autorités compétentes montent au créneau avec le RGPD
Le travail de la Cnil rejoint celui d’autres régulateurs européens des données. Sur l’année 2022, ces derniers ont émis un montant record de 2,92 milliards d’euros d’amendes, soit une augmentation de 168 % par rapport à 2021 (près de 1,1 milliard d’euros). C’est ce que révèle la dernière enquête RGPD et Data Breach du cabinet d’avocats international DLA Piper, qui couvre les 27 États membres de l’Union européenne, plus le Royaume-Uni, la Norvège, l’Islande et le Liechtenstein. La plus grosse amende de cette année, d’un montant de 405 millions d’euros, a été infligée par la Cnil irlandaise (DPC) à Meta Platforms Ireland Limited concernant Instagram pour des manquements présumés à la protection des données personnelles des enfants. Le DPC irlandais a également infligé une amende de 265 millions d’euros à Meta pour ne pas avoir respecté l’obligation du RGPD en matière de protection des données by design et par défaut. Les deux amendes font actuellement l’objet d’un appel.