RGPD : la CNIL multiplie les amendes, selon « L’Observatoire des Sanctions CNIL » du cabinet Walter Billet Avocats

  • La CNIL a confirmé en 2023 sa volonté d’identifier les manquements au RGPD et a opté pour une sanction à plus d’une trentaine de reprises.

  • Trois amendes majeures ont été prononcées à l’encontre de Criteo, Amazon France Logistique et Yahoo! EMEA Ltd, pour un total de 82 millions d’euros.

  • L’autorité a également multiplié les amendes plus modestes en ayant recours à la procédure simplifiée instaurée en avril 2022, pour sanctionner des entreprises de toutes tailles mais aussi des entités publiques.

La deuxième édition de « L’Observatoire des Sanctions CNIL » du cabinet Walter Billet Avocats confirme la volonté de l’administration publique de continuer à identifier et sanctionner les manquements au Règlement général sur la protection des données (RGPD), entré en vigueur mi-2018.

Constitué à partir de l’examen des décisions prises au cours de l’année 2023, « L’Observatoire des Sanctions CNIL » permet d’établir que l’autorité dirigée par Marie-Laure Denis a prononcé plus d’une trentaine d’amendes – à comparer avec les 21 sanctions prises au cours de l’année précédente.

Avec un rythme de progression annuel qui excède pour la première fois 50 % sur les quatre derniers millésimes, les sanctions prononcées démontrent la montée en puissance des procédures de contrôle en matière de traitement des données à caractère personnel.

 

Trois amendes supérieures à 1 million d’euros…

Bien qu’ayant beaucoup moins communiqué publiquement ces derniers mois sur de telles décisions, la CNIL a donc passé la vitesse supérieure. Il faut certainement y voir la suite logique de ce que l’administration avait souligné lors de son précédent bilan annuel, en indiquant qu’elle avait établi un record avec 147 mises en demeure, en 2022.

Cela étant, le panorama des interventions de la CNIL présente une configuration sensiblement différente d’une année sur l’autre. Alors que sept entreprises avaient fait l’objet d’une amende supérieure à 1 million d’euros, en 2022, elles sont seulement trois à avoir pâti d’une sanction d’une telle envergure, cette fois-ci : Criteo (40 millions), Amazon Logistique France (32 millions) et Yahoo ! EMEA Ltd (10 millions).

Six autres ont quant à elles fait l’objet d’une amende d’un montant supérieur à 100 000 euros, parmi lesquelles le Groupe Canal + (600 000 €), Doctissimo (380 000 €) et SAF Logistics (200 000 €).

 

… et une multiplication des procédures simplifiées

Outre ces sanctions d’envergure, « L’Observatoire des Sanctions CNIL » met en évidence le fait que la multiplication des amendes résulte essentiellement de modalités d’intervention instaurées récemment. « L’année passée, la CNIL a particulièrement fait usage de la procédure simplifiée, créée en avril 2022 et lui permettant de statuer rapidement sur des dossiers ne présentant pas de difficulté légale particulière. Dans ce cadre, elle n’a pas hésité à condamner à de nombreuses reprises au paiement de la peine maximale, de 20 000 euros d’amende », analyse Alan Walter, associé-cofondateur de Walter Billet Avocats et expert en droit des nouvelles technologies et des données personnelles.

D’un point de vue global, et comme en 2022, la CNIL a sanctionné des intervenants de toutes tailles. Outre les entreprises commerciales, elle a également continué de placer dans son écran-radar des praticiens de santé (médecins généralistes, chirurgiens-dentistes, etc.) ainsi que des acteurs de la sphère publique (communes, ministères…), tout aussi concernés par le texte régissant la collecte et le traitement des données à caractère personnel.

En revanche, si l’autorité de protection mène ses actions quel que soit le secteur d’activité de l’entité visée, il ressort des sanctions prononcées en 2023 que celles-ci ont en particulier concerné les sociétés développant une activité liée aux nouvelles technologies (IT), qu’il s’agisse de développeurs d’applications mobiles, d’éditeurs de logiciels, voire de sites Internet et de médias.

 

Défaut de coopération sanctionné

« En ce qui concerne les motifs invoqués lors de ses enquêtes, la CNIL a sanctionné de multiples acteurs pour défaut de coopération, notamment dans le cadre de la procédure simplifiée, poursuit Alan Walter. A la lumière de ces faits, il est bon de rappeler qu’il convient de coopérer de bonne foi avec la CNIL dans le cadre de son enquête, afin de limiter voire éviter tout risque de condamnation. »

Y compris dans les procédures « classiques », la CNIL a rappelé dans les faits qu’elle n’hésite pas à prononcer des sanctions importantes en cas d’absence de coopération. Il apparaît dès lors indispensable de rappeler à toutes les entités concernées par un contrôle qu’il ne suffit pas de s’y être préparé et qu’il convient de bien s’entourer pour être en mesure de suivre ces procédures d’enquête et se conformer aux demandes de l’administration publique.

A cet égard, il est aussi intéressant de noter que la CNIL a liquidé l’astreinte prononcée à l’encontre de la société Clearview AI et décidé que celle-ci devra payer 5,2 millions d’euros pour ne pas s’être conformée à l’injonction formulée dans la décision de sanction d’octobre 2022 – infligeant déjà une amende de 20 millions. « Ce cas précis démontre que toute absence de réaction à une sanction est susceptible de se traduire par une nouvelle amende », insiste Alan Walter.

 

Ne pas baisser la garde en 2024

A n’en pas douter, de telles préconisations seront toujours d’actualité, encore cette année. En effet, le 12 décembre 2023, la CNIL a signé une déclaration conjointe avec l’Autorité de la concurrence, soulignant « leur ambition commune et leur volonté d’approfondir leur coopération ».

Début janvier, l’autorité de protection des données a également utilisé son compte LinkedIn pour y dresser la liste de la quinzaine de postes qu’elle a ouvert au recrutement en CDI, en ce début d’année, signe d’une volonté de poursuivre le développement de ses activités.

De telles initiatives s’inscrivent à n’en pas douter dans le sens de l’histoire et constituent autant d’indices, si besoin était, de la nécessité pour les entreprises et les administrations de ne pas baisser la garde en 2024. L’ensemble des organismes contrôlés peuvent d’ailleurs se référer à la ligne directrice relative au calcul des amendes administratives, adoptée le 24 mai dernier par le Comité Européen de la Protection des Données (CEPD). Bien que non contraignant pour la CNIL, ce document permet d’appréhender les potentielles condamnations en cas de non-respect du RGPD.

Alan Walter indique : « Ces lignes directrices prennent notamment en compte dans la méthode de calcul les montants visés par le RGPD (qui constituent des plafonds), la gravité du manquement et le chiffre d’affaires de l’organisme incriminé. Ce montant peut, par la suite, être réévalué en cas de circonstances aggravantes ou atténuantes, liées au comportement de l’organisme (comme la récidive, le degré de coopération ou l’ampleur des actions mises en place pour limiter les dommages subis par les personnes concernées). »

 

 

Méthodologie : « L’Observatoire des Sanctions CNIL » du cabinet Walter Billet Avocats est réalisé sur la base des décisions rendues publiques par la CNIL. Les montants des sanctions, les articles du RGPD mentionnés et les identités des entreprises et organismes concernés sont extraits des documents dévoilés par la CNIL et disponibles sur son site Internet, ainsi que des décisions disponibles via Legifrance.

Les commentaires figurant dans « L’Observatoire des Sanctions CNIL » relèvent de l’analyse faite par l’équipe IP-IT du cabinet Walter Billet Avocats, dirigée par Alan Walter.