Focus sur une année record pour l’action répressive de la CNIL

Publié le

02/2022

28 janvier 2022

À l’occasion de la journée de la protection des données, la CNIL fait le bilan de son action répressive. 2021 est une année sans précédent, tant par le nombre de mesures adoptées (18 sanctions et 135 mises en demeure) que par le montant cumulé des amendes, qui atteint plus de 214 millions d’euros.

La journée de la protection des données est l’occasion pour les acteurs publics et privés ainsi que pour les autorités de protection des données comme la CNIL de montrer leur engagement pour protéger la vie privée des personnes et le respect des règles de protection des données. Cette année, la CNIL a souhaité mettre en avant les actions qu’elle a mené dans le cadre de ses pouvoirs répressifs au cours de l’année 2021.

18 sanctions visant des secteurs d’activités variés

En 2021, la formation restreinte de la CNIL a prononcé 18 sanctions, pour un montant de 214 106 000 euros. 12 d’entre elles ont été rendues publiques. Ces sanctions comportent 15 amendes (dont 5 avec injonctions sous astreinte) et 2 rappels à l’ordre, avec injonctions. Pour la première fois, une décision de liquidation d’astreinte (c’est-à-dire le paiement d’une somme en raison du non-respect d’un ordre donné par la CNIL) a été prononcée. En pratique, la société concernée, initialement sanctionnée d’une amende de 7 300 euros a dû payer 65 000 euros supplémentaires car elle n’avait pas procédé aux modifications de son traitement demandées dans la décision de sanction. Cette année, les décisions ont concerné des secteurs d’activité et des acteurs très divers. Parmi les manquements les plus fréquents figurent le défaut d’information des personnes et des durées de conservation excessives (voir le tableau). Sur ces 18 sanctions, la moitié comporte un manquement en lien avec la sécurité des données personnelles, ce qui illustre deux choses :

les mesures de sécurité prises par les organismes restent souvent insuffisantes ;
la CNIL vérifie systématiquement la sécurité des systèmes d’information lorsqu’elle effectue un contrôle.

Enfin, quatre sanctions concernent une mauvaise gestion des cookies et autres traceurs. Quatre décisions de la CNIL ont été adoptées en coopération avec les homologues européens dans le cadre du guichet unique prévu par le RGPD. En parallèle, toujours dans le guichet unique, la CNIL a examiné 17 projets de décision d’homologues européens relatifs à des traitements concernant des français. !

Sanctions CNIL 2021 - 2020 : 138 489 300 €; 2021 : 214 106 000 € (+ 55%) ; La moitié des sanctions concerne en partie une mauvaise sécurité des données ; 4 décisions de la CNIL en coopération avec les autorités de protection des données européennes ; 17 dossiers examinés par la CNIL

135 mises en demeure et de nombreuses mises en conformité

Mises en demeure CNIL 2021 - 79 en 2017 ; 48 en 2018 ; 42 en 2019 ; 49 en 2020 ; 135 en 2021

Un nombre record de mises en demeure (décision de la présidente de la CNIL ordonnant à un organisme de se mettre en conformité dans un délai maximum de 6 mois) a également été atteint en 2021, avec 135 décisions prononcées, dont 2 rendues publiques (à l’encontre de Clearview et de Francetest) et 3 adoptées dans le cadre de la coopération européenne. Cela représente une augmentation très conséquente du nombre de mises en demeure par rapport aux années précédentes. Une part importante de ces mises en demeure a porté sur la thématique prioritaire des cookies : 89 décisions comportent un manquement en lien avec l’utilisation des traceurs (dont 84 sont pleinement consacrées à cette question). En parallèle, la CNIL a clos 123 dossiers (procédures de sanction et de mise en demeure) à l’issue, notamment, de l’examen des actions prises par les organismes pour se mettre en conformité.