Données personnelles : Walter Billet Avocats dévoile « L’Observatoire des Sanctions CNIL »

  • La première édition de « L’Observatoire des Sanctions CNIL » du cabinet Walter Billet Avocats montre une nouvelle progression des décisions de la CNIL prises au titre du RGPD et rendues publiques en 2022 – parmi lesquelles figurent 19 amendes et sanctions ;

  • Avec des amendes souvent supérieures au million d’euros – la plus importante ayant concerné Microsoft (60 millions) –, la CNIL semble vouloir montrer au marché qu’elle assume aujourd’hui pleinement son rôle de « gendarme des données personnelles »;

  • Tout en continuant de cibler un large panel d’entreprises, de l’entrepreneur individuel aux très grands groupes, l’administration publique a régulièrement relevé – et sanctionné – les défauts de coopération qu’elle a rencontrés pendant ses enquêtes.

A l’occasion du Data Protection Day *, le cabinet Walter Billet Avocats – qui intervient régulièrement aux côtés des entreprises pour les accompagner dans la gestion des problématiques liées au traitement des données personnelles – annonce la publication de « L’Observatoire des Sanctions CNIL ». Etabli sur la base des décisions publiées à la suite de manquements aux dispositions du Règlement général sur la protection des données (RGPD), entré en vigueur mi-2018, ce nouvel indicateur met en avant la progression des interventions de l’autorité administrative, ainsi que sa volonté de couvrir un large spectre d’entreprises dans ses investigations.

Un volume de sanctions en progression constante…

Au cours de l’année 2022, la CNIL a une nouvelle fois accru le nombre de ses décisions, en dévoilant ses prises de position à 23 reprises. Dans ce cadre, elle a notamment prononcé 19 amendes – un chiffre à comparer avec les 15 de l’année 2021 et les 11 évoquées lors du millésime précédent. En parallèle, l’autorité chargée de s’assurer de la bonne mise en œuvre du RGPD a prononcé 1 clôture d’injonction (celle visant Facebook depuis le 31 décembre 2021) et 2 liquidations d’astreinte (concernant un notaire et une société de réparation et d’entretien de véhicules), mais aussi révélé avoir ouvert un dossier dans le cadre d’une coopération (après avoir été informée par Deezer d’un vol de données concernant les utilisateurs de la plateforme de musique en streaming).

… et une forte proportion d’amendes supérieures au million d’euros

Parmi les 19 sanctions prononcées au cours de l’année écoulée, 7 ont dépassé le seuil du million d’euros. La plus importante d’entre elles (60 millions d’euros) a concerné Microsoft, à l’issue d’opérations de contrôle confirmant :

  • le dépôt de cookies sur le terminal des utilisateurs du site bing.com, sans demande expresse de leur consentement ;
  • l’absence de bouton permettant de refuser les cookies aussi facilement que pour les accepter.

Clearview AI, qui traitait via son logiciel de reconnaissance faciale les données d’individus obtenues à partir de photos disponibles en ligne (sans leur consentement), a pour sa part fait l’objet d’une amende de 20 millions, tandis que celle visant Apple s’est élevée à 8 millions – la CNIL constatant la diffusion de publicités ciblées aux utilisateurs de l’App Store (version 14.6) sans demande expresse de leur consentement.

« En infligeant fréquemment des sanctions aux montants élevés, visant des grandes entreprises souvent très connues du grand public, la CNIL semble vouloir indiquer à l’ensemble du marché que le droit à l’erreur n’est plus véritablement de mise. Les premières années d’application, où il pouvait subsister une certaine ‘indulgence’ afin de s’adapter au nouveau règlement, prennent désormais fin. Par ailleurs, force est de constater qu’elle est intervenue tous azimuts l’an passé, en prononçant aussi des amendes à l’égard de professions individuelles et de TPE. Il apparait qu’elle continuera dans cette voie et que nul ne puisse se sentir à l’abri », analyse Alan Walter, associé-cofondateur de Walter Billet Avocats, expert en droit des nouvelles technologies, de l’informatique et des données personnelles.

Des sanctions de l’ordre de quelques milliers d’euros ont en effet été adressées en 2022 à plusieurs médecins ainsi qu’à une université – confirmant l’étendue du spectre d’intervention de la CNIL, comme cela avait déjà été le cas au cours de l’année 2021.

Autre fait marquant de l’année écoulée : la présence – parmi les 19 sociétés sanctionnées – de deux entreprises évoluant du public :

  • Infogreffe, le GIE des greffes des tribunaux de commerce français, a fait l’objet d’une amende de 250 000 euros, en raison de la durée de conservation des mots de passe des utilisateurs (au-delà de ce qui était prévu) ;
  • EDF a pour sa part été gratifiée d’une sanction de 600 000 euros en raison de plusieurs manquements au RGPD (démarchage commercial sans consentement, « charte de protection des données personnelles » lacunaire, manquement aux obligations de sécurité…).

Investigations spontanées ou faisant suite à des dépôts de plaintes

La variété des cas traités au cours de l’année 2022 démontre également que la CNIL affiche l’intention d’être présente sur tous les sujets liés au RGPD. L’autorité administrative a non seulement mené ses propres investigations – y compris dans le cadre de coopération avec ses homologues européens, comme ce fut le cas pour Clearview AI –, mais aussi diligenté des enquêtes à la suite de plaintes reçues de la part d’utilisateurs (comme pour Total Energies, Accor, Infogreffe, EDF, Free, Microsoft et Apple).

Il ressort aussi des décisions récentes que la CNIL pointe souvent du doigt l’attitude des entreprises lorsqu’elles font l’objet d’investigations. Tout défaut de coopération constitue un motif supplémentaire de grief et pèse parfois lourd dans la décision finale. Ce fut particulièrement le cas de Clearview AI, dont il a été indiqué qu’elle n’avait coopérer avec aucune des institutions européennes scrutant sa conformité au RGPD.

« Il faut garder à l’esprit que les investigations de la CNIL durent généralement plusieurs mois. Les entreprises doivent profiter de cette possibilité de mettre en place les premières actions correctrices durant la période entre le contrôle, la mise en demeure et la sanction éventuelle, relève Alan Walter. Elles ont donc tout intérêt à coopérer et se montrer proactives pour démontrer leur bonne volonté et espérer, in fine, ne pas voir s’envoler le montant de l’amende – dans le cas où la CNIL estimerait encore que ces modifications ne sont pas suffisantes pour être tout à fait en ligne avec la législation. »

Pas de barème des sanctions disponible

A ce stade, et bien que l’on compte désormais une cinquantaine de décisions en l’espace de trois ans, il demeure impossible d’établir un barème des sanctions prononcées par la CNIL : non seulement, celles-ci font écho à une grande variété de cas d’espèce, mais elles s’appuient aussi sur une règlementation particulièrement dense et dont les contours prêtent parfois à interprétation.

« En 2022, la CNIL a invoqué pas moins d’une douzaine d’articles du RGPD pour qualifier les griefs adressés aux entreprises. La mise en œuvre de ce texte ouvre donc la voie à une multitude de manquements possibles des entreprises, parmi lesquels il est encore difficile d’établir une gradation à l’heure actuelle, analyse Alan Walter. Cela est d’autant plus impossible que les textes sont parfois assez flous : à titre d’exemple, ils mentionnent l’obligation de disposer en interne d’un délégué à la protection des données (DPO) en cas de traitement de données à grande échelle, sans jamais préciser un ordre de grandeur qui permettrait de comprendre où se situerait la limite… Impossible, donc, pour les entreprises de quantifier ex ante le risque financier auquel elles s’exposent éventuellement. De toute façon, les inciter à faire un tel calcul ne serait pas leur rendre service, puisqu’il ne fait désormais aucun doute que la question de la conformité au RGPD devient incontournable. »