accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Bilan 2023 de l'action répressive de la CNIL : ce qu'il faut retenir

AAI
CNIL, communiqué, 16 févr. 2024 (Bilan 2023)
[19.02.2024]

Il ressort du bilan 2023 de l’activité répressive de la CNIL un accroissement du nombre de mesures adoptées. Elle a prononcé 42 sanctions, pour un montant de près de 90 M€. 168 mises en demeure et 33 rappels aux obligations légales ont également été notifiés. Par rapport à l'année précédente, le nombre de sanctions prononcées a doublé tandis que les sommes récoltées ont légèrement baissé. Cela s'explique par l’effet conjugué de la mise en œuvre de la procédure dite de « sanctions simplifiées », d’un accroissement des réclamations et de la coopération européenne.

En 2023, 42 sanctions ont été prononcées par la CNIL, pour un montant de 89 179 500 euros. 18 sanctions ont été adoptées par la formation restreinte de la CNIL, l’organe de la CNIL en charge de prononcer les sanctions, et 24 par son président seul, dans le cadre de la procédure de sanction simplifiée mise en place en 2022. Ces sanctions comportent 36 amendes (dont 14 avec injonctions sous astreinte), 2 décisions de liquidation d’astreinte (c’est-à-dire le paiement d’une somme en raison du non-respect d’un ordre donné par la CNIL dans sa décision de sanction) et 4 rappels à l’ordre. 14 de ces décisions ont été rendues publiques.

Sanction. - Publicité et commerce en ligne, sécurité, géolocalisation des véhicules, droits des salariés ou encore traitement des données de santé : les décisions de sanction ont porté sur des thématiques variées et ont concerné des acteurs de taille et de secteurs divers. En effet, les sanctions ont aussi bien été prononcées contre de petites entreprises qu’à l’encontre de multinationales et ont concerné tant le secteur privé que le secteur public.

Six des décisions de sanction adoptées l’ont été en coopération avec les homologues européens de la CNIL, dans le cadre du guichet unique prévu par le RGPD. En parallèle, la CNIL a examiné 5 projets de décision d’homologues européens relatifs à des traitements qui concernent notamment des français. La CNIL a par ailleurs activement participé à 2 procédures de règlement des litiges engagées au niveau du Comité européen de la protection des données (CEPD) concernant le groupe META et la société TIK TOK ainsi qu’à une procédure d’avis d’urgence du CEPD concernant également le groupe META.

2023 est l’année de la montée en puissance de la procédure de sanction simplifiée. C’est ainsi que parmi les 42 sanctions adoptées cette années, 24 d’entre elles (12 amendes et 12 amendes et injonctions) ont été prises par le président de la formation restreinte pour un montant total de 229 500 euros.

Principal manquement retenu dans le cadre de la procédure simplifiée, le défaut de coopération avec la CNIL, qui a concerné 15 organismes (acteurs publics et privés) sanctionnés pour n’avoir pas répondu à ses sollicitations. Le manquement relatif à la sécurité des données personnelles a été retenu à l’encontre de 7 organismes qui n’avaient pas mis en œuvre toutes les mesures nécessaires pour assurer la sécurité des données, comme l’utilisation d’un protocole http, qui ne permet pas le chiffrement des données entre le client et le serveur, ou encore le manque de robustesse des mots de passe ou leur stockage en clair.

Mises en demeure et mises en conformité. - En 2023, la CNIL a adopté un nombre record de mises en demeure (décision de la présidente de la CNIL ordonnant à un organisme de se mettre en conformité dans un délai fixé) avec 168 décisions prononcées. Le recours à cette mesure efficace pour obtenir la mise en conformité des organismes augmente depuis 2021.

Ces mises en demeure ont également concerné des secteurs et des problématiques variés, qui  recoupent celles abordées dans le cadre des procédures de sanctions telles que l’exercice des droits, le défaut de coopération avec la CNIL et la géolocalisation des véhicules.

Par ailleurs, deux séries de décisions ont également été adoptées sur des thématiques spécifiques :

  • des mises en demeures ont été adoptées à l’encontre de 39 communes qui avaient mis en place des lecteurs automatisés de plaques d’immatriculation (dispositif « LAPI ») pour des finalités de police administrative et judiciaire (par exemple, des infractions au code de la route). Or, la CNIL a relevé que seuls les services de police nationale ou de gendarmerie – et non les communes – pouvaient mettre en œuvre de tels dispositifs.   

  • en matière de cybersécurité, une série de contrôles en lien avec la sécurité des sites web a principalement porté sur des sites web d’organismes publics particulièrement visités par les internautes français (par exemples, ceux des régions, communes ou communautés de communes). À l’issue de ces contrôles, 39 mises en demeure ont été adressées à des organismes qui n’avaient pas mis en place le protocole de communication sécurisé HTTPS sur leur site web.

Consulter le bilan 2023 en format vidéo.