Le moins que l'on puisse dire, c'est que la Commission nationale de l'informatique et des libertés (CNIL) a eu du pain sur la planche en 2022.
Entre ses décisions à l'échelle nationale et sa coopération avec ses homologues européens, le gendarme français de la protection des données en ligne poursuit son travail avec une efficacité croissante.
Une année riche… en sanctions
Si la force de frappe de la CNIL ne cesse de croître, c'est que depuis l'entrée en vigueur du RGPD, la structure dispose notamment d'une excellente base juridique sur laquelle s'appuyer. En conséquence, les entorses à ce même RGPD sont d'autant plus facilement sanctionnées. Et cela rapporte, puisque sur 21 sanctions prononcées, ce ne sont pas moins de 101,2 millions d'euros qui ont été versés à la CNIL en 2022. Plus en détail, cela comporte 19 amendes adressées et régularisées ainsi que 2 décisions de liquidation d'astreinte permettant à la commission d'obtenir les sommes dues à la suite de sanctions, mais non versées jusqu'à présent.
En somme, la CNIL sanctionne, mais en plus, ses décisions sont, dans leur très grande majorité, respectées. En 2022, l'entrée en vigueur de la procédure de sanction simplifiée a également permis à sa présidente, Marie-Laure Denis, de prononcer 4 sanctions sur les 21. Son but est de permettre de traiter plus rapidement les dossiers « sans difficulté », de manière à désengorger le processus de traitement de plaintes de la CNIL face à leur nombre croissant pour non-respect du RGPD.
Ce qu'il faut notamment retenir, c'est qu'un tiers de ces 21 sanctions concernent la violation de la sécurité des données personnelles. 2022 marque également une année record en matière de mises en demeure, avec une hausse de 10 % par rapport à 2021. Au total, ce sont 147 mises en demeure qui ont été adressées en 2021, contre 42 seulement en 2019.
Le cap des 500 millions d'euros d'amende dépassé
À l'échelle européenne, la CNIL a pris 3 décisions en coopération et examiné 18 dossiers dans lesquels des Français ont fait l'objet de décisions de ses homologues européens. Cette dimension internationale s'inscrit dans le cadre d'une montée en puissance du processus de sanction dans la continuité du RGPD. Ainsi, depuis l'entrée en vigueur de ce dernier, ce ne sont pas moins de 2,5 milliards d'euros d'amendes qui ont été versés à l'Union européenne.
À son seul niveau, la CNIL représente plus de 1/6 de ce total, avec plus de 500 millions d'euros adressés sous forme de sanctions. Pour la répartition, Google cumule 250 millions d'euros d'amendes diverses entre 2019 et 2021, soit la moitié de la somme. Meta (2021) et Microsoft (2022) complètent le podium avec 60 millions d'euros chacune. En matière de sanction, le record est toujours détenu par le Luxembourg, avec une amende de 746 millions d'euros adressée à Amazon en 2021, dans une décision prise en collaboration avec… la CNIL.
Source : Rapport d'activité 2022 de la CNIL