-
En portant à 150 le nombre de sanctions prononcées entre 2022 et 2024 (dont 87 l’an dernier), la CNIL démontre une nouvelle fois sa volonté de traquer tout manquement aux dispositions régissant le traitement des données à caractère personnel.
-
La procédure simplifiée, instaurée en avril 2022, fait désormais office de règle générale tant elle est fréquemment utilisée par la CNIL pour sanctionner les contrevenants.
-
L’absence de communication systématique autour des sanctions infligées donne néanmoins la fausse impression qu’il est possible de passer au travers des mailles du filet et d’esquiver les obligations liées au RGPD.
Pour sa troisième édition, « L’Observatoire des Sanctions CNIL » du cabinet Walter Billet Avocats confirme la tendance de fond mise en avant un an plus tôt, à savoir une très nette montée en puissance de l’administration publique en matière de sanctions infligées au titre des infractions au Règlement général sur la protection des données (RGPD), entré en vigueur mi-2018.
Néanmoins, contrairement aux années précédentes, où la CNIL avait dévoilé au fil de l’eau les amendes infligées aux contrevenants, l’autorité dirigée par Marie-Laure Denis a multiplié les sanctions sans pour autant communiquer de façon systématique, quelle que soit leur envergure. C’est la raison pour laquelle son bilan annuel traduit un dynamisme qui contraste avec l’impression de discrétion qui pouvait prévaloir aux yeux des observateurs : la CNIL vient d’annoncer avoir plus que doublé le volume de ses sanctions, portées au nombre de 87 en 2024.
Parmi celles-ci, une soixantaine ont été précisément identifiées dans le cadre de « L’Observatoire des Sanctions CNIL », grâce à l’examen des décisions rendues publiques par l’autorité et celles consultables sur Legifrance. Par effet miroir, un tiers des sanctions prononcées au cours de l’année 2024 demeurent donc impossibles à décrypter.
« La configuration des amendes prononcées par la CNIL a sensiblement évolué dans un laps de temps relativement court, analyse Alan Walter, associé-cofondateur de Walter Billet Avocats et expert en droit des technologies innovantes et des données personnelles. Après une première phase que l’on pourrait qualifier d’éducation du marché, où ont été prioritairement passées au crible les pratiques des grands groupes, français comme internationaux, la CNIL a continué d’élargir son spectre d’investigation pour toucher les organisations publiques et privées de toutes tailles. Dans ce contexte, il faut notamment relever qu’une seule amende a dépassé le seuil du million d’euros en 2024, à savoir celle de 50 millions visant l’opérateur télécoms Orange. »
Onze amendes entre 100 000 euros et 1 million
L’an dernier, seules 12 sanctions ont également été rendues publiques par l’autorité de référence. En dépit de cette communication devenue parcellaire, « L’Observatoire des Sanctions CNIL » a identifié onze amendes comprises entre 100 000 et 1 million d’euros, impliquant une multiplicité de secteurs d’activité (édition et vente de logiciels, édition de sites web, site d’annonces entre particuliers, gestion de programmes de fidélité, réalisation d’études, distribution de matériel de télécommunications…).
Considérant que la CNIL annonce avoir prononcé pour 55,2 millions d’euros de sanctions, en 2024, et que la somme des 12 amendes de plus de 100 000 euros s’établit à 54,2 millions, cela met en évidence le fait que le million d’euros restant se répartit entre les 75 autres décisions tombées au cours de l’année dernière (ce qui représente un montant moyen de l’ordre de 13 000 euros).
« La prépondérance des sanctions d’une ampleur modérée est la conséquence logique du fait que la CNIL recourt de plus en plus à la procédure simplifiée, créée en avril 2022 et dont la peine maximale s’établit à 20 000 euros d’amende », souligne Alan Walter.
De plus en plus de signalements
Alan Walter poursuit : « Les délais d’instruction des dossiers font que, mécaniquement, nous commençons à observer une multiplication très importante du nombre de sanctions, sans commune mesure avec le volume annuel finalisé par la CNIL jusqu’en 2023. C’est d’ailleurs dans un souci d’efficacité accrue que la procédure simplifiée a été mise en place pour les dossiers ne présentant pas de difficulté légale particulière. »
Quelle que soit la procédure utilisée, les entreprises et les entités publiques visées par une enquête de la CNIL ont d’ailleurs l’obligation de coopérer, tel que le stipule le RGPD. Malgré cela, le défaut de coopération continue de faire office de motif de sanction très répandu, comme cela était déjà le cas en 2023.
« Les entreprises pourraient considérer que le risque d’être sanctionné est mineur, notamment au vu du montant des amendes prononcées, mais il s’agit certainement d’un faux calcul car il ne tient pas cas de l’effet de telles sanctions sur leur réputation. Etant donné que de plus en plus d’examens menés par la CNIL résultent de signalements remontant des utilisateurs et des clients des entités concernées, mieux vaut adopter une attitude pro-active et témoigner d’une volonté d’apporter des actions correctrices dès qu’une instruction débute », conseille Alan Walter.
Dernier indice plaidant pour une attention accrue portée à ces questions : début janvier 2025, la CNIL a procédé à une réorganisation interne en créant deux directions distinctes, dédiées à l’exercice des droits et des plaintes, d’une part, et aux contrôles et sanctions, d’autre part. En toute logique, le nombre d’instructions et de sanctions devrait s’inscrire à la hausse, cette année encore.
Méthodologie : « L’Observatoire des Sanctions CNIL » du cabinet Walter Billet Avocats est réalisé sur la base des décisions rendues publiques par la CNIL. Les montants des sanctions, les articles du RGPD mentionnés et les identités des entreprises et organismes concernés sont extraits des documents dévoilés par la CNIL et disponibles sur son site Internet, ainsi que des décisions disponibles via Legifrance.
Les commentaires figurant dans « L’Observatoire des Sanctions CNIL » relèvent de l’analyse faite par l’équipe IP-IT du cabinet Walter Billet Avocats, dirigée par Alan Walter.