Panorama des motifs de sanctions de la CNIL

Ce nombre record de sanctions depuis l’entrée en vigueur du RGPD en mai 2018 s’explique en grande partie par l’introduction des procédures de sanction dites « simplifiées ». A la différence de la procédure de sanction ordinaire, la procédure de sanction simplifiée est plus rapide dans son exécution et plus adaptée aux dossiers peu complexes. Elle requiert une formation restreinte, dont seul son président statue, et permet de prononcer des sanctions non publiques (rappel à l’ordre, mise en demeure, amende administrative inférieure à 20.000 euros). 

Sur les 31 amendes administratives, 23 ont été prononcées dans le cadre d’une procédure de sanction simplifiée contre 8 dans le cadre d’une procédure de sanction ordinaire. Grâce à l’introduction des procédures de sanctions simplifiées, la CNIL a sanctionné en 2023 des organismes variés (très grande entreprise, auto-entrepreneurs, libéraux, …).  

Les amendes administratives prononcées à la suite de procédures de sanction ordinaire sont fortement en baisse en 2023. En effet, 19 sanctions résultant de procédures de sanction ordinaire ont été prononcées en 2022 pour un montant de 101,2 millions d’euros contre seulement 41,4 millions d’euros en 2023. Le montant moyen des sanctions en 2022 et en 2023 reste toutefois important (environ 5 millions d’euros), ce qui positionne la France comme le 4^e pays ayant le montant d’amendes le plus élevé depuis l’entrée en vigueur du RGPD. 

Les principaux cas de non-conformité ayant conduit à des sanctions sont : 

• Le manque de transparence ou d'information : information dans un langage peu intelligible dans une politique de confidentialité ; 
• L’absence ou le non-respect des durées de conservation : absence de définition des durées de conservation, absence de mise en œuvre de purge ou de processus d’anonymisation des données personnelles ; 
• L’insuffisance des mesures de sécurité : mots de passe peu robustes, absence de chiffrement des données personnelles stockées, accès aux données personnelles non restreint aux seules personnes autorisées ; 
• Le non-respect des droits des personnes concernées : absence de réponse au droit d’accès, absence de suppression effective des données personnelles à la suite d’une demande de droit à l’effacement ; 

En outre, 3 motifs de sanctions ont été prononcés de manière récurrente par la CNIL en 2023 : le défaut de coopération avec la CNIL, le manquement au principe de loyauté et de transparence et le non-respect du principe de minimisation. 

Défaut de coopération avec la CNIL : 

Présent dans 17 sanctions sur 33, le défaut de coopération avec la CNIL apparaît comme le motif de sanction le plus fréquent en 2023. Ce dernier accompagne souvent d’autres motifs de sanction et aggrave le montant de l’amende prononcée par la CNIL, d’autant plus lorsque l’entreprise concernée est récidiviste. Conformément au RGPD, « le responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l'autorité de contrôle, à la demande de celle-ci, dans l'exécution de ses missions". Ont pu notamment constituer un manquement à l’obligation de coopération du responsable de traitement avec la CNIL :  

• La transmission partielle de documents ;
• La traduction incomplète ;
• La dissimulation d’informations ou de documents ; 
• L’absence à des convocations de la CNIL ;
• L’absence de réponse à une mise en demeure ; 
• L’envoi de données ou documents dans un format non adapté à leur exploitation ;
• L’absence de réactivité de l’entreprise à la suite de manquements constatés par la CNIL.  

Manquement au principe de loyauté et de transparence : 

Le manquement au principe de transparence et le défaut ou l’insuffisance de collecte du consentement des personnes concernées ont été relevées 17 fois par la CNIL. Selon le RGPD, « Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l'article 34 en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, … ». Ont pu constituer un manquement au principe de loyauté et de transparence : 

• L’absence d’information et de collecte de consentement pour l’utilisation d’une extension/API Google (reCAPTCHA) nécessaire à la création d’un compte utilisateur ; 
• L’absence d’information spécifique et de collecte de consentement pour le traitement de données sensibles (données de santé, orientations sexuelles, ...) ; 
• L’information partielle des personnes (absence d’information sur la base juridique ou le caractère obligatoire des données à caractère personnel) ; 
• La communication d’information relative aux traitements de données à caractère personnel au sein des conditions générales de vente, de sorte que l’information ne soit pas facilement identifiable ou aisément accessible ; 
• Le non-respect des conditions de collecte de consentement par des entreprises partenaires (responsables conjoints) ou sous-traitants et l’impossibilité de tracer le consentement collecté ; 
• L’absence de collecte de consentement préalablement au dépôt de cookies ; 
• L’impossibilité de paramétrer les cookies sur un site web ; 
• L’absence d’information complète communiquée lors d’appels téléphoniques dans le cadre de prospection commerciale. 

Non-respect du principe de minimisation de données : 

A 9 reprises, le non-respect du principe de minimisation des données a été identifié comme motif de sanction par la CNIL. Le RGPD prévoit que les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». A ce titre, une sanction a pu être prononcée pour non-respect du principe de minimisation lorsque : 

• Une entreprise, agissant dans le cadre d’un contrat de prestation, collecte des données personnelles non précisées dans le contrat même sans les exploiter ;  
• Des données de localisation sont collectées par défaut et en continue par une entreprise sans que celles-ci ne soient pertinentes et indispensables au service fourni ; 
• Une entreprise collecte des données de localisation relatives à des biens qui sont mis en location en libre-service chaque 30 secondes dans le but d’assurer leur sécurité et de se prémunir contre le vol ; 
• La totalité des appels téléphoniques a été enregistrée par une entreprise à des fins de contrôle qualité et de preuve de souscription de contrats.

Ces motifs de sanctions font désormais jurisprudence et devraient être pris en compte dans le cadre du bilan d’activité annuel et de la définition de la feuille de route pour 2024. En effet, les principales thématiques de contrôle définies annuellement par la CNIL ainsi que les motifs de sanctions les plus récurrents permettent de prioriser les actions de mise en conformité afin de limiter les risques de plainte et les risques de sanction et de réputation afférents. Si le nombre de sanctions prononcées par la CNIL semble être du plus en plus important au fil des années, cette tendance devrait se poursuivre en 2024 dans la mesure où la CNIL disposera de 298 agents et d'un budget de 27,9 millions d’euros, soit environ 2 millions de plus qu'en 2023. Cette augmentation de budget semble anticiper l’ampleur des défis que la CNIL souhaite relever :  l’intelligence artificielle, l’équilibre sécurité-liberté, et la protection des enfants face au numérique. 

Ces motifs de sanctions font désormais jurisprudence et devraient être pris en compte dans le cadre du bilan d’activité annuel et de la définition de la feuille de route pour 2024. En effet, les principales thématiques de contrôle définies annuellement par la CNIL ainsi que les motifs de sanctions les plus récurrents permettent de prioriser les actions de mise en conformité afin de limiter les risques de plainte et les risques de sanction et de réputation afférents. Si le nombre de sanctions prononcées par la CNIL semble être du plus en plus important au fil des années, cette tendance devrait se poursuivre en 2024 dans la mesure où la CNIL disposera de 298 agents et d'un budget de 27,9 millions d’euros, soit environ 2 millions de plus qu'en 2023. Cette augmentation de budget semble anticiper l’ampleur des défis que la CNIL souhaite relever : l’intelligence artificielle, l’équilibre sécurité-liberté, et la protection des enfants face au numérique.