Retour vers le passé – Un bref aperçu des sanctions de la CNIL en 2022
Alors qu’on a appris récemment que l’homologue irlandais de la CNIL partait en croisade contre le Comité européen de la protection des données, que les intelligences artificielles commencent à faire réellement peur, et que les fuites de données continuent, la CNIL, elle, a récemment fêté ses 45 ans le 6 janvier 2023.
Cette dernière a d’ailleurs bien commencé l’année en prononçant une sanction d’un montant de 8 millions d’euros à l’encontre de APPLE DISTRIBUTION INTERNATIONAL (vous pouvez accéder à la publication de la CNIL ici).
Mais avant de nous intéresser à ce que nous réserve l’année 2023 – et notamment au contentieux et autres inquiétudes cités plus haut – on vous propose de faire un bref retour sur l’année 2022. Bien que les chiffres de la CNIL n’aient pas encore été publiés officiellement, un petit tour sur le site (ici) nous a permis d’obtenir un rapide aperçu de l’activité de la CNIL en 2022.
2022 peut donc se résumer en 22 décisions prononcées par la CNIL dont 1 non-lieu. Le reste des décisions sont bien des sanctions : soit 21 sanctions dont 2 liquidations d’astreinte (c’est-à-dire le paiement d’une somme en raison du non-respect d’un ordre donné par la CNIL). C’est deux sanctions de plus par rapport à 2021 !
Les chiffres ont d’ailleurs bien varié entre 2021 et 2022.
Le cumul des sanctions de 2021 s’élevait à un montant de 214 106 000 d’euros. En 2022, ce chiffre est peut-être un peu plus modeste et dépasse de peu les 100 millions d’euros d’amende.
Un chiffre qui a également évolué, c’est le nombre de décisions rendues publiques : 14 organismes se sont vus pointés du doigt par la CNIL en 2022.
En contrepartie, les chiffres que l’on ne connaît pas avec exactitude, c’est le nombre de mise en demeure prononcé par la CNIL. Ayant suivi l’actualité, on sait déjà qu’il y en a plus d’une trentaine (22 concernant des communes, 15 des sites internet…).
Au-delà des chiffres, ce qui nous intéresse ce sont les thèmes sanctionnés par la CNIL. S’intéresser aux organismes sanctionnés n’est pas nécessairement pertinent : tout comme pour les années passées, la CNIL a sanctionné des organismes aux activités diverses et variées. On retrouve bien entendu les GAFA(M) parmi les organismes sanctionnés, mais il ne s’agit jamais vraiment d’une surprise.
Côté thèmes donc, on a fait un peu de tri pour identifier au mieux le ou les thèmes les plus fréquemment sanctionnés par la CNIL.
A votre avis quel est le thème qui revient le plus ? Les cookies ? La sécurité des données ? Il s’agit en fait du non-respect des droits des personnes concernées !
En effet, si on prend en compte le tableau de sanctions prononcées par la CNIL et que l’’on fait du tri dans la colonne « Manquements principaux / Thème », on se rend compte que plus de 40% des manquements sanctionnés concernaient la question du respect des droits des personnes concernées contre 13 % relatif à la sécurité des données, ou encore 8 % concernant les durées de conservation.
Si on creuse le thème droit des personnes un peu plus, le défaut le plus sanctionné concerne le droit à l’information des personnes concernées, suivi de près par le défaut du respect du droit d’accès. Quitte à ressasser la même rengaine, on vous le rappelle encore aujourd’hui : la transparence, qui inclut à la fois l’obligation d’information et les droits des personnes concernées, est un pilier du RGPD ! Il est primordial de respecter ce principe ! En plus de limiter le risque de sanction, le respect de ce principe ne peut être que bénéfique pour vos activités : informer les personnes c’est aussi établir un climat de confiance avec elles, et se montrer réactif face à leurs demandes également. Gardez d’ailleurs à l’esprit que le contrôle des sites internet et notamment le contrôle des mentions d’informations est rapide pour la CNIL ! Ce qui lui permet aussi de pouvoir agir rapidement en prononçant une mise en demeure qu’elle estimerait nécessaire.
Pour commencer l’année 2023 sur un bon pied, et limiter les risques de sanction, on peut vous inviter à plusieurs choses :
- Vous intéresser au passé pour apprendre des « mauvais » exemples sanctionnés par la CNIL et ainsi éviter les mêmes écueils,
- Garder un œil attentif sur les actualités de la CNIL à venir et notamment son programme de contrôle,
- Poursuivre, démarrer ou encore reprendre vos projets conformité : on entre dans la 5ème année d’existence du RGPD et certains défauts ne sont plus acceptables !
Et bien entendu : on peut aussi vous inviter à nous faire appel pour organiser les formations nécessaires en matière RGPD, ou encore à faire appel à Actecil pour un accompagnement durable.
On espère vous rencontrer tous cette année, et en attendant, n’hésitez pas à nous partager vos réactions sur notre page Linkedin 😊