La Commission Nationale de l’Informatique et des Libertés (CNIL) dresse le bilan de son action répressive pour l’année 2023, marquée par une augmentation notable des sanctions et mesures correctrices. Cette année a été caractérisée par une approche privilégiant la mise en conformité plutôt que la punition directe, tout en observant une croissance significative du nombre de sanctions prononcées.
Une hausse significative des sanctions et mesures répressives
En 2023, la CNIL a prononcé 42 sanctions, représentant un montant total de près de 90 millions d’euros. En parallèle, 168 mises en demeure et 33 rappels aux obligations légales ont été notifiés, soulignant une activité soutenue de l’organisme. Cette augmentation des sanctions s’explique par la mise en place de la procédure de « sanctions simplifiées », l’accroissement des réclamations, et la coopération européenne.
Ces sanctions ont touché divers secteurs comme la publicité et le e-commerce, la sécurité, la géolocalisation des véhicules, les droits des salariés, ainsi que le traitement des données de santé. Notons que les sanctions n’ont pas épargné les petites entreprises, tout en visant également des acteurs majeurs, couvrant à la fois le secteur privé et public.
Sanctions et conformité : principaux enseignements, coopération européenne et procédure simplifiée
Les décisions de sanction de la CNIL ont souligné le principe fondamental selon lequel le démarchage publicitaire, que ce soit sous forme de messages électroniques ou de publicités ciblées en ligne, doit obtenir le consentement préalable de la personne concernée. Deux ministères ont été rappelés à l’ordre pour avoir utilisé les coordonnées des agents publics à des fins de communication sur le projet de réforme des retraites.
Dans le domaine de la surveillance des salariés, la CNIL a sanctionné des traitements de données en violation du droit au respect de la vie privée des employés.
6 des décisions de sanction ont été prises en collaboration avec les homologues européens de la CNIL, conformément au guichet unique établi par le RGPD. En parallèle, la CNIL a examiné 5 projets de décision d’homologues européens concernant des traitements impliquant des citoyens français. La commission a également activement participé à des procédures au niveau du Comité européen de la protection des données (CEPD), notamment impliquant le groupe META (Facebook) et la société TIKTOK.
L’année 2023 a marqué l’essor de la procédure de sanction simplifiée, avec 24 des 42 sanctions adoptées par le président de la formation restreinte. Cette procédure a principalement ciblé le défaut de coopération avec la CNIL, touchant 15 organismes, publics et privés, ne répondant pas aux sollicitations de la commission.
Sécurité des données personnelles et record de mises en demeure pour assurer la conformité
Sept organismes ont été sanctionnés pour des manquements liés à la sécurité des données personnelles. Ces manquements incluent l’absence de mise en place de mesures nécessaires pour assurer la sécurité des données, tels que l’utilisation d’un protocole http, l’insuffisance de robustesse des mots de passe, ou encore le stockage en clair de ces derniers.
La procédure de sanction simplifiée a également démontré son efficacité en répondant à 17 plaintes déposées auprès de la CNIL, particulièrement en matière de géolocalisation des véhicules, de vidéosurveillance des salariés, et des droits des individus.
En 2023, la CNIL a adopté un nombre record de 168 mises en demeure, une mesure efficace pour obtenir la conformité des organismes. Cette tendance à la hausse depuis 2021 témoigne de l’efficacité de cette approche coercitive. Les mises en demeure ont couvert un large éventail de secteurs, reflétant les problématiques abordées dans les procédures de sanctions, telles que l’exercice des droits, le défaut de coopération, et la géolocalisation des véhicules.
De plus, des décisions spécifiques ont été prises à l’encontre de 39 communes ayant mis en place des lecteurs automatisés de plaques d’immatriculation, ainsi que dans le domaine de la cybersécurité, avec 39 mises en demeure adressées à des organismes ne respectant pas le protocole de communication sécurisé HTTPS sur leurs sites web.
L’année 2023 a été marquée par une intensification des actions répressives de la CNIL, reflétant sa volonté de garantir la protection des données personnelles et le respect des droits individuels, tout en favorisant la conformité des organismes visés. La coopération européenne et la procédure de sanction simplifiée ont été des leviers importants dans cette dynamique, démontrant l’efficacité d’une approche collaborative pour faire face aux enjeux croissants liés à la protection des données.
Source : https://www.cnil.fr/fr/sanctions-et-mesures-correctrices-la-cnil-presente-le-bilan-2023-de-son-action-repressive