Sanctions RGPD 2023 : La CNIL en pleine action

Un peu moins de six ans après l’entrée en application du RGPD, la CNIL continue à surveiller activement les entreprises, contrôlant leurs pratiques et sanctionnant sévèrement parfois les manquements constatés. Les entreprises de toutes tailles sont concernées, et la diversité des secteurs auxquels appartiennent les organismes sanctionnés en 2023 montre qu’aucun secteur n’est à l’abri des projecteurs de l’autorité de contrôle.

Bien que l’année ne soit pas encore terminée, le bilan des sanctions de la CNIL s’annonce significatif. À ce jour, l’autorité de contrôle a prononcé pas moins de 25 sanctions, dépassant ainsi le nombre annuel des sanctions infligées depuis 2018. Parmi celles-ci, 23 concernent des amendes, dont au moins neuf assorties d’injonctions sous-astreintes, et deux décisions de liquidation d’astreinte. Seules 30% à peu près ont été rendues publiques. Cette divulgation sélective s’explique, d’une part, par le fait que dans le cadre de la procédure simplifiée, les sanctions ne peuvent être publiées, et d’autre part, en raison de la nécessité de maintenir la proportionnalité des sanctions.

La sanction la plus élevée de l’année porte sur une amende de 40 millions d’euros infligée à Critéo¹ pour avoir notamment enfreint les règles sur le consentement, l’obligation d’information, et les droits des personnes. En outre, deux professionnels de la santé, un médecin généraliste et un chirurgien-dentiste, ont été sanctionnés, ce qui constitue un rappel pour les acteurs médicaux libéraux sur l’importance de respecter rigoureusement leurs obligations en matière de données personnelles.

Quelques organismes ont également fait l’objet de mises en demeure en 2023², bien que leur nombre soit en baisse par rapport aux années précédentes. Ce faible nombre reflète la volonté de la CNIL de privilégier une approche plus sévère et moins axée sur une démarche éducative, comme c’était le cas les premiers mois suivant l’entrée en application du RGPD.

En plus de ces réactions, l’autorité de contrôle a collaboré dans le cadre de sanctions européennes, comme dans le cas des amendes de 1,2 milliard d’euros et de 345 millions d’euros infligées respectivement à Meta et TikTok. Cette coopération entre les autorités européennes est indispensable pour un niveau de protection des données élevé et cohérent en Europe.

Plus de sanctions grâce à la procédure simplifiée

Au moins 17 des sanctions prononcées ont été traitées exclusivement par le président de la formation restreinte, soit presque le double du nombre des sanctions prononcées via la procédure de sanction ordinaire. Bien que ne s’appliquant qu’aux affaires ne présentant pas de difficulté particulière, cette procédure a permis à la CNIL d’accélérer le traitement des dossiers et, par conséquent, d’avoir davantage de ressources pour traiter les nombreuses plaintes qu’elle reçoit.

Des manquements variés

Certains manquements semblent avoir été sanctionnés pour la première fois en 2023, illustrant la volonté de la CNIL de sensibiliser les entreprises à l’ensemble de leurs obligations légales. Ainsi, avec la condamnation de 40 millions d’euros d’amende de la société Critéo, la CNIL sanctionne pour la première fois un manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués dans le cadre d’une relation de responsabilité conjointe. De même, l’amende de 200 000 euros à l’encontre de la société SAF Logistics³ a marqué une première sanction pour un manquement aux règles relatives aux données sur les infractions et les condamnations, dont la collecte et le traitement exige une vigilance accrue et des mesures renforcées.

Par ailleurs, l’analyse des sanctions de 2023 révèle que les manquements les plus fréquents concernent le défaut d’information, le non-respect des règles de sécurité et du principe de minimisation des données, ainsi que le défaut de coopération avec la CNIL qui constitue le principal manquement en 2023, soulevant des questions sur l’attitude de certains organismes refusant de collaborer avec l’autorité de contrôle.

En matière de sécurité, alors que la cybersécurité constitue le socle de la protection des données personnelles, il peut être remarqué dans les sanctions infligées à Doctissimo, KG COM et Canal+ que des mesures élémentaires de sécurité n’ont pas été respectées. Cela inclut notamment la conservation des mots de passe dans un format sécurisé ainsi que le recours à un protocole de communication sécurisé.

De plus, les sanctions imposées à Canal+, Critéo et Cityscoot⁴ révèlent des lacunes dans la mise en œuvre du principe de transparence tel qu’introduit par le RGPD. Dans ces cas, les informations n’ont pas été communiquées de manière adéquate en raison du manquement à certaines mentions obligatoires, d’une description incomplète, ou encore d’une présentation inadéquate ou ne correspondant pas au moment exigé.

Il semble également que les organismes traitant des données personnelles ne veillent pas toujours à s’assurer de la pertinence des données collectées au regard des finalités. À titre d’exemple, dans la sanction SAF Logistics, la société collectait par le biais d’un formulaire envoyé aux salariés un nombre important d’informations, non nécessaires à l’accomplissement de la finalité annoncée.

Une vigilance à renforcer en 2024

Comme le rappel la CNIL dans plusieurs des sanctions prononcées, des pratiques déjà mises en lumière et analysées à l’occasion d’autres sanctions, ne sont pas toujours prises en compte par les organismes alors que lorsqu’elle sanctionne un organisme, la CNIL entend mettre en garde tous les organismes, publics et privés, sur les obligations à respecter et les pratiques à adopter. À cela s’ajoute l’ensemble des guides, référentiels et autres outils que l’autorité met à disposition des organismes dans le cadre de sa stratégie d’accompagnement.

Ce manque de vigilance est-il dû à une insuffisance des ressources, à des contraintes budgétaires, ou résulte-t-il plutôt d’une difficulté à mettre en pratique les dispositions légales ?

Un point essentiel ressort d’ailleurs de ces sanctions et porte sur la nécessité que le responsable de traitement soit en mesure de démontrer la conformité de ses pratiques et que ce qui est documenté corresponde à ce qui est fait en pratique. Si la documentation est importante, elle ne suffit pas si des mesures concrètes n’ont pas été mises en œuvre et suivies pour assurer le respect des obligations.

Quoi qu’il en soit, ces sanctions constituent un avertissement clair pour l’ensemble des organismes traitant des données personnelles, les incitant à maintenir une vigilance constante et à adopter une approche proactive pour protéger les données qu’ils détiennent. L’année 2023 met ainsi en évidence l’importance de la conformité RGPD et de la coopération avec la CNIL pour éviter des conséquences financières et réputationnelles à long terme.

Sources

¹ Légifrance, Délibération SAN-2023-009 du 15 juin 2023

² CNIL, dernières communications sur les mises en demeure prononcées par la CNIL

³ Légifrance, Délibération SAN-2023-013 du 18 septembre 2023

⁴ Légifrance, Délibération SAN-2023-003 du 16 mars 2023