La Cnil a infligé 101 millions d'euros d’amendes en 2022

2022, année bien remplie pour la Cnil. Selon son bilan annuel, la Commission nationale de l’informatique et des libertés a l'an passé prononcé 21 sanctions et 147 mises en demeure, contre 18 et 135 en 2021. Seul le montant des amendes est sensiblement différent, avec 101 millions d’euros d’amende en 2022, pour 214 millions en 2021.

Cette année-là avait été marquée par les amendes record de 150 et 60 millions d’euros infligées respectivement à Google et Facebook, qui ne permettaient pas à leurs utilisateurs de refuser facilement les cookies. A titre de comparaison, 138 millions d'euros d’amende ont été infligés en 2020, et 51 millions en 2019.

Plus de plaintes depuis l'entrée en vigueur du RGPD

La Cnil justifie cette activité soutenue par le nombre de plaintes, "de plus en plus nombreuses" depuis l’entrée en vigueur du règlement européen sur la protection des données (RGPD), en 2018. Un activisme qui semble porter ses fruits, puisque la Commission a clos l'an dernier 87 procédures de sanction et de mise en demeure "à l’issue, notamment, de l’examen des actions prises par les organismes pour se mettre en conformité", écrit-elle.

"Parmi les manquements les plus fréquents figurent le défaut d’information des personnes, le non-respect de leurs droits et le défaut de coopération avec la Cnil", détaille encore la Commission. Dans le détail, un tiers des sanctions est lié à la sécurité des données personnelles, quatre à la mauvaise gestion des cookies et trois à de la prospection commerciale. Ce sujet se retrouve aussi parmi les motifs de mise en demeure, aux côtés du transfert des données vers les Etats-Unis et des mesures de sécurité des sites web.

A noter que les Gafam ne sont pas les seuls concernés par ces procédures : sur les 147 mises en demeure prononcées, 22 l’ont été à l’encontre de communes qui n’avaient pas désigné de délégué à la protection des données.

Depuis 2018, un cinquième des amendes européennes infligées par la Cnil

L’entrée en vigueur du RGPD en 2018 a également conduit la Cnil à renforcer ses liens avec ses homologues européens. Le gendarme français des données personnelles a ainsi adopté trois décisions en coopération avec ces derniers, "dans le cadre du guichet unique prévu par le RGPD". Une procédure que les Cnil européennes ont depuis appelé à simplifier. Signe de cette coopération accrue, quatre des 21 sanctions prononcées par la Cnil l’ont été par son président seul, une nouvelle procédure "créée pour traiter les dossiers ne présentant pas de difficulté particulière", explique la Cnil, qui se dit très sollicitée depuis l’entrée en vigueur du RGPD.

La Commission française a par ailleurs participé à cinq procédures engagées auprès du Comité européen de la protection des données (CEPD), qui chapeaute les Cnil européennes. En janvier 2022, celles-ci s’étaient opposées au CEPD en raison du montant jugé trop faible de l’amende requise contre Meta, maison-mère de Facebook, pour son traitement des données personnelles à des fins commerciales sans le consentement des utilisateurs.

Depuis l’entrée en vigueur du RGPD, la Cnil a infligé à elle seule un cinquième (500 millions) du montant total des amendes prononcées par les autorités responsables des données personnelles en Europe (2,5 milliards). Le gendarme français du numérique a ainsi condamné Microsoft en décembre à une amende de 60 millions d’euros pour avoir déposé des cookies publicitaires sur le terminal des utilisateurs de son moteur de recherche, sans leur consentement. Un rythme que la Cnil semble vouloir tenir : en janvier 2023, elle a condamné Apple à une amende de huit millions d’euros pour ne pas avoir demandé le consentement de ses utilisateurs concernant l’usage commercial de leur identifiant.

Sélectionné pour vous

Malgré les craintes de la classe politique, TikTok gagne en popularité aux Etats-Unis

Ferrari victime d'une cyberattaque

Le FBI arrête le créateur d'un des plus gros forums de hackers