Il faut croire que le gendarme s’est assagi en 2022. Contre toute attente, et alors que la tendance inverse était observée les années précédentes, la Commission nationale de l’informatique et des libertés (Cnil) n’a pas vu ses recettes augmenter grâce aux sanctions financières infligées. Seuls 101 millions d’euros d’amendes ont eté prononcés par l’autorité administrative. Mais il y a une explication.
Le montant des amendes inférieur à 2020…
En 2022, ce sont donc 21 sanctions qui ont été prononcées par la Cnil, dont 13 ont été rendues publiques, pour un montant de 101 277 900 €. C’est donc moins que le montant cumulé des amendes en 2021, qui avait atteint le niveau record de 214 millions d’euros. En 2020, le montant était également supérieur, avec 138 millions d’euros récoltés.
La Cnil précise que ces sanctions comprennent 19 amendes et deux décisions de liquidation d’astreinte, c’est-à-dire le paiement d’une somme en raison du non-respect d’un ordre donné par la Cnil dans sa décision de sanction. « Parmi les manquements les plus fréquents figurent le défaut d’information des personnes, le non-respect de leurs droits et le défaut de coopération avec la Cnil, indique l’autorité. Sur ces 21 sanctions, un tiers comporte également un manquement en lien avec la sécurité des données personnelles. Enfin, quatre sanctions concernent une mauvaise gestion des cookies et autres traceurs et trois contiennent des manquements en lien avec la prospection commerciale ».
… mais un nombre record de mises en demeure
Si le montant des sanctions financières est plus faible que les années précédentes, la Cnil indique que son activité a surtout été « marquée par une réforme importante des procédures correctrices », et par « un nombre record de mises en demeure ». Il y a en effet eu 147 mises en demeure prononcées, contre 135 en 2021 et une cinquantaine les années précédentes.
Ces mises en demeure ont concerné des secteurs et des problématiques variés. Outre l’obligation de désigner un DPO (délégué à la protection des données), elles ont également porté sur la prospection commerciale et la transmission de données à des partenaires commerciaux, sur le transfert des données vers les États-Unis (notamment par le biais de l’outil Google Analytics) ou encore sur les mesures de sécurité de sites web. Plus généralement, en matière de sécurité des données, la moitié des décisions adoptées comporte au moins un manquement sur le volet cybersécurité.
Enfin, la Cnil se targue d’être devenue plus efficace avec des procédures simplifiées. Ainsi, 13 000 dossiers auraient été traités alors que l’autorité a reçu 12 000 plaintes en 2022, signifiant qu’elle est parvenue à rattraper une partie des dossiers encore en attente.