La Commission nationale de l’informatique et des libertés (CNIL), gardienne des données personnelles des Français, a prononcé 21 sanctions en 2022 pour un montant total de plus de 101 millions d’euros, en diminution par rapport aux années précédentes, a-t-elle annoncé mardi 31 janvier dans un rapport. Un montant total en baisse par rapport aux années précédentes : le montant cumulé des amendes avait atteint le niveau record de 214 millions d’euros en 2021, après 138 millions d’euros en 2020.
Ces sanctions ont été facilitées par la loi relative à la responsabilité pénale et à la sécurité intérieure, votée à la fin de l’année 2021, qui a créé une nouvelle procédure de sanction simplifiée. Quatre sanctions ont ainsi été prononcées en 2022 par la CNIL grâce à cette nouvelle procédure, qui permet de traiter les dossiers ne présentant pas de difficultés particulières grâce à une procédure accélérée. Dans ce cas de figure, le président de la formation restreinte statue seul, sans avoir besoin d’une décision collégiale.
La CNIL souligne néanmoins un nombre record de mises en demeure : 147, contre 135 en 2021 et une cinquantaine les années précédentes. La Commission a également décompté 87 dossiers clos, ce qui correspond « à des procédures de sanction et de mise en demeure à l’issue, notamment, de l’examen des actions prises par les organismes pour se mettre en conformité ».
Les mises en demeure ont concerné l’obligation de désigner un délégué à la protection des données, l’application des règles sur la prospection commerciale, ou les transferts de données outre-Atlantique. Soixante-douze d’entre elles comportent au moins un manquement lié à la cybersécurité.
Plusieurs sanctions contre les GAFAM
En 2022, la Commission a reçu 12 000 plaintes et en a traité 13 000, réussissant ainsi pour la première fois à faire diminuer le stock de quelque 7 000 signalements encore en attente, a expliqué à l’Agence France-Presse (AFP) son secrétaire général, Louis Dutheillet de Lamothe.
Plusieurs sanctions ont visé les GAFAM : en 2022, cela a été le cas de Microsoft, sanctionné par une amende de 60 millions d’euros, la plus importante de l’année, rendue publique à la fin de décembre, puis d’Apple, avec une récente amende de 8 millions d’euros que l’entreprise entend contester.
La CNIL a enfin adopté trois décisions « en coopération avec ses homologues européens » et a « activement participé à cinq procédures » engagées au niveau européen pour régler des litiges sur des projets de décision. Depuis l’entrée en vigueur du Règlement européen sur la protection des données (RGPD) en 2018, la CNIL a prononcé un peu plus de 500 millions d’euros d’amende, soit un cinquième du total des amendes décidées par les autorités européennes (2,5 milliards d’euros).