La Commission nationale de l’informatique et des libertés (CNIL) a présenté son rapport d’activité pour l’année 2022, dans lequel elle évoque un nombre record de mises en demeure et de sanctions prononcées à l’encontre des acteurs du numérique qui ne respectent pas la protection des données personnelles. 2022 marque la fin d’un cycle au cours duquel la CNIL a modifié ses méthodes de travail pour répondre aux exigences du RGPD, dans le domaine de l’accompagnement à la conformité et de l’information du public.La Commission a rappelé qu'elle a engagé depuis plusieurs années des travaux pour anticiper et répondre aux enjeux soulevés par l’IA. En 2023, elle va prolonger son action sur les caméras augmentées et souhaite élargir ses travaux aux IA génératives aux grands modèles de langage et aux applications dérivées (notamment les chatbots).
Un bilan répressif sans précédent
En 2022, la CNIL a reçu 12 193 plaintes et en a traité 13 160, ce qui représente une légère baisse par rapport à l’année précédente (13 425 plaintes traitées). Toutefois, la CNIL a renforcé son action répressive, en adressant 147 mises en demeure, contre 135 en 2021, et en prononçant 21 sanctions pour un montant total de 101 millions d’euros d’amendes. Parmi les principaux manquements sanctionnés figurent le non-respect du consentement des utilisateurs pour les cookies publicitaires, la surveillance excessive des salariés ou des clients, ou encore les failles de sécurité exposant les données personnelles à des risques de piratage ou de rançongiciels.
Envoyé par CNIL
Pour la première fois depuis l’entrée en application du RGPD, la CNIL a traité autant, et même davantage de plaintes qu’elle en a reçues, atteignant l’objectif que 100 % des plaintes puissent être traitées, que chacun reçoive une réponse, adaptée à sa situation, lorsqu’il saisit la CNIL. C’est un cap fondamental qui a été franchi. L’éventail des issues des plaintes a, par ailleurs, été enrichi avec les premières sanctions dites simplifiées de l’histoire de la CNIL.
D’une manière générale, l’activité répressive reste sur des standards élevés, dans la mesure où 345 contrôles ont été réalisés, 147 mises en demeure notifiées et 21 sanctions adoptées, pour un total d’amendes cumulées de plus de 100 millions d’euros. Les organismes concernés par ces mesures sont de toutes tailles, y compris des géants du numérique, et relèvent d’une grande diversité de secteurs.
Depuis l’entrée en application du RGPD, la politique répressive de la CNIL n’a pas varié. L’objectif poursuivi est en priorité la mise en conformité des organismes. À cet égard, 94 % des investigations menées aboutissent à la mise en conformité des organismes sans que la CNIL recoure à la sanction. Pour autant, entre 2018 et 2022, la somme des sanctions prononcées par la CNIL s’élève à plus d’un demi-milliard d’euros, ce montant reflétant le poids de l’exploitation des données dans les modèles d’affaires actuels.
D’une manière générale, l’activité répressive reste sur des standards élevés, dans la mesure où 345 contrôles ont été réalisés, 147 mises en demeure notifiées et 21 sanctions adoptées, pour un total d’amendes cumulées de plus de 100 millions d’euros. Les organismes concernés par ces mesures sont de toutes tailles, y compris des géants du numérique, et relèvent d’une grande diversité de secteurs.
Depuis l’entrée en application du RGPD, la politique répressive de la CNIL n’a pas varié. L’objectif poursuivi est en priorité la mise en conformité des organismes. À cet égard, 94 % des investigations menées aboutissent à la mise en conformité des organismes sans que la CNIL recoure à la sanction. Pour autant, entre 2018 et 2022, la somme des sanctions prononcées par la CNIL s’élève à plus d’un demi-milliard d’euros, ce montant reflétant le poids de l’exploitation des données dans les modèles d’affaires actuels.
La CNIL a également participé à la régulation concertée des géants du numérique au niveau européen, en examinant 18 projets de sanctions proposés par ses homologues et en demandant à l’autorité irlandaise de sanctionner Meta (ex-Facebook) pour ses pratiques abusives en matière de transfert de données hors de l’Union européenne. Cette demande a abouti à l’amende record de 1,2 milliard d’euros infligée à Meta le 22 mai 2023.
Envoyé par CNIL
En 2022, 21 sanctions ont été prononcées par la CNIL, pour un montant de 101 277 900 euros.
13 d’entre elles ont été rendues publiques. Ces sanctions comportent 19 amendes (dont 7 avec injonctions sous astreinte) et 2 décisions de liquidation d’astreinte (c’est-à-dire le paiement d’une somme en raison du non-respect d’un ordre donné par la CNIL dans sa décision de sanction).
17 sanctions ont été prononcées par la formation restreinte de la CNIL, l’organe de la CNIL en charge de prononcer les sanctions, et 4 par son président seul dans le cadre de la procédure de sanction simplifiée mise en place en 2022. Cette nouvelle procédure a notamment été créée pour traiter les dossiers ne présentant pas de difficulté particulière, et permettre ainsi à la CNIL de mieux agir face aux plaintes de plus en plus nombreuses reçues depuis l’entrée en application du RGPD.
Les décisions de sanction ont concerné des secteurs d’activité, des thématiques et des acteurs très divers. Parmi les manquements les plus fréquents figurent le défaut d’information des personnes, le non-respect de leurs droits et le défaut de coopération avec la CNIL. Sur...
13 d’entre elles ont été rendues publiques. Ces sanctions comportent 19 amendes (dont 7 avec injonctions sous astreinte) et 2 décisions de liquidation d’astreinte (c’est-à-dire le paiement d’une somme en raison du non-respect d’un ordre donné par la CNIL dans sa décision de sanction).
17 sanctions ont été prononcées par la formation restreinte de la CNIL, l’organe de la CNIL en charge de prononcer les sanctions, et 4 par son président seul dans le cadre de la procédure de sanction simplifiée mise en place en 2022. Cette nouvelle procédure a notamment été créée pour traiter les dossiers ne présentant pas de difficulté particulière, et permettre ainsi à la CNIL de mieux agir face aux plaintes de plus en plus nombreuses reçues depuis l’entrée en application du RGPD.
Les décisions de sanction ont concerné des secteurs d’activité, des thématiques et des acteurs très divers. Parmi les manquements les plus fréquents figurent le défaut d’information des personnes, le non-respect de leurs droits et le défaut de coopération avec la CNIL. Sur...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.