Cinq ans après l’entrée en vigueur du RGPD, la CNIL se dit fin prête
La CNIL, 45 ans d’âge, a largement renforcé ses pouvoirs depuis l’entrée en application du RGPD. Son bilan de l’année 2022 est l’occasion de passer en revue son activité répressive, ses pratiques d’enquête et d’esquisser les chantiers qui l’attendent.
Cinq ans. Cinq ans que le RGPD est entré en vigueur dans les pays de l’Union européenne. Depuis 2018, l’autorité locale chargée d’appliquer la réglementation européenne en France, la Commission nationale de l’informatique et des libertés (CNIL) a gagné en moyen et en visibilité. Ses missions, l’information, l’accompagnement, l’anticipation et le contrôle de la protection des données personnelles ont largement été étoffés.
La face la plus visible de la CNIL demeure son « activité répressive » qui, malgré une baisse notable en 2022, « reste sur des standards élevés ».
Dans son rapport consacré à l’année 2022, publié le 23 mai 2023, la CNIL rapporte avoir effectué 345 contrôles, dont 43 % ont été menées à la suite d’une plainte ou d’un signalement. Elle a appliqué 147 mises en demeure, dont 72 relatives au déploiement du protocole HTTPS. Seulement 22 d’entre elles ont été rendues publiques. La Commission a ainsi rappelé les textes du RGPD aux 22 communes de plus de 20 000 habitants qui n’avaient pas désigné de délégués à la protection des données (tout en protégeant leur anonymat).
Plus de 300 millions d’euros d’amendes infligées en deux ans
Évidemment, on retient plus facilement les montants réclamés aux entreprises. La CNIL a fait appliquer 21 sanctions, dont 19 amendes pour un montant cumulé de 101 millions d’euros (101 277 900 euros exactement). Treize d’entre elles sont accessibles publiquement. Ce montant s’avère au moins deux fois inférieur à celui de l’an dernier. En 2021, elle avait réalisé 384 contrôles, effectué 135 mises en demeure et appliqué 18 sanctions, dont 15 amendes pour un total de 214 millions d’euros d’amendes.
Pour autant, la Commission s’est montrée particulièrement active entre 2021 et 2022 : sur cette période, elle a infligé un montant cumulé de plus de 300 millions d’euros d’amendes.
Depuis l’application du RGPD en 2018, la CNIL affirme avoir infligé environ un demi-milliard d’euros d’amendes. Au 24 mai 2023, le comité européen de la protection des données (CEPD), l’organisme indépendant dont la mission est de veiller à la bonne application du RGPD, notait que les autorités locales ont infligé plus de 2,5 milliards d’euros d’amendes en cinq ans.
La CNIL scrute les pratiques des grands du numérique
Si la CNIL assure contrôler et sanctionner des entreprises de toute taille, en 2022, elle a mis en avant les mesures prises en direction d’acteurs internationaux populaires auprès des internautes et des mobinautes : Google (confirmation d’une amende de 150 millions), Facebook (60 millions), Discord (800 000 euros), TikTok (5 millions d’euros), Microsoft (60 millions d’euros), Apple (8 millions d’euros) ou encore Voodoo (3 millions d’euros).
Mais, il y a également quelques grands noms français parmi les fautifs, dont EDF (600 000 euros), Accor (600 000 euros) et Infogreffe (250 000 euros). L’éditeur Dedalus biologie a pareillement écopé d’une amende de 1,5 million d’euros pour ne pas avoir protégé l’accès aux données de 500 000 patients, présentes dans un fichier accessible publiquement sur un forum. Sans oublier le cas spécifique de ClearView AI (20 millions d’euros d’amendes) qui entraînait ses modèles de reconnaissance faciale sur 20 milliards d’images extraites sur le Web, sans le consentement des personnes.
La CNIL l’affirme haut et fort, elle a maintenant les moyens pour appliquer les contrôles et les mesures. Outre le recrutement de 25 personnes (l’autorité compte plus de 270 collaborateurs), la procédure simplifiée adoptée en 2022 aurait permis de renforcer son dispositif quand un cas « ne présente pas de difficulté technique ou juridique » et dont le montant de l’amende ne dépasse pas 20 000 euros. L’année dernière, l’autorité a fait mention de quatre sanctions prises à l’issue d’une procédure simplifiée, contre huit en 2023. Sur l’année en cours, elle mentionne au total 14 sanctions prononcées.
Les motifs des sanctions
« Défaut d’information des personnes, non-respect de leurs droits et défaut de coopération avec la CNIL », voilà les trois motifs les plus récurrents qui expliquent les décisions répressives de l’autorité l’année dernière.
Dans sept cas, la Commission a relevé des manquements de sécurité, par exemple l’usage d’un mot de passe trop court ou peu complexe pour protéger des données personnelles des usagers. Quatre sanctions portent sur la mauvaise gestion des cookies et traceurs (en application de la directive ePrivacy), et trois autres concernent des manquements en lien avec l’orchestration de campagnes commerciales. Par exemple, TotalEnergies s’est vu réclamer 1 million d’euros pour plusieurs manquements dans le cadre de sa prospection téléphonique.
Les entreprises coopèrent, mais les DPO manquent de formation
Si le nombre d’amendes infligées demeure relativement bas, c’est que, selon la CNIL, sa priorité est « la mise en conformité des organismes », une initiative des entreprises et du public. « 94 % des investigations menées aboutissent à la mise en conformité des organismes sans que la CNIL recoure à la sanction », peut-on lire dans le rapport.
La plupart du temps, la CNIL envoie un courrier pour informer l’existence d’une plainte. « Ces envois sont souvent efficaces et suffisants, les organismes engageant les actions nécessaires pour répondre, par exemple, aux demandes d’exercice des droits qu’ils n’avaient pas traitées », note l’autorité.
Par ailleurs, il arrive que les contrôleurs mentionnent un potentiel défaut que les responsables de la protection des données personnelles s’empressent de faire corriger, avant d’effectuer un retour par mail ou par téléphone. En l’absence de réponse, la CNIL se réserve le droit d’appliquer une mise ou demeure ou d’engager « une procédure de sanction pour absence de coopération ». En clair, la majorité des entreprises ayant eu affaire avec l’autorité se sont montrées coopératives.
Sans dégager une tendance, le nombre de plaintes reçu est en baisse : 12 193 en 2022 (13 160 plaintes closes), contre 14 143 en 2021. En revanche, les demandes d’exercice de droit indirect ont augmenté de 27 % par rapport à l’année précédente.
Les organisations devant respecter le RGPD s’informent davantage. En 2022, la CNIL a répondu à « 20 159 demandes d’information (+13 % par rapport à 2021) dans un délai moyen de 23 jours (contre 53 en 2021) et traité 1 315 demandes de conseil ».
D’ailleurs, la Commission assure que 2022 « marque la fin d’un cycle » : elle estime avoir désormais les méthodes en place pour « répondre aux exigences du RGPD » en matière d’accompagnement des entreprises. Elle ajoute qu’elle a publié cinq guides et mis en place des MOOC de formations.
Pour autant, les délégués à la protection personnelle, de plus en plus nombreux (31 757 DPO enregistrés en 2022, une hausse de 10 % par rapport à 2021, près de 90 000 organismes ont au moins un délégué), manquent d’expertise suggère la CNIL. « Un tiers d’entre eux n’a suivi aucune formation Informatique et Libertés/RGPD depuis 2016 », alors que 75 % des DPO expriment un besoin de formation, selon une étude réalisée en 2022 par le ministère du Travail.
Si l’offre de formation consacrée à la protection des données personnelles est en hausse, l’autorité a participé à la révision du référentiel d’agrément des organismes de certifications. Il s’agit de simplifier certaines procédures (par exemple, l’examen peut être effectué à distance), mais aussi d’assurer la compatibilité des textes français avec la norme EN ISO/IEC 17024 « en vigueur ». La délibération du 6 octobre 2022 instaure surtout une durée de validité pour l’agrément : les organismes devront se tourner vers la Commission tous les cinq ans pour le renouveler. Si le texte n’oblige plus de fournir un registre actualisé des personnes certifiées tous les six mois, il confère à la CNIL un droit de regard sur le questionnaire permettant de constater s’il est affecté par des modifications importantes. L’autorité affirme que cela permettra d’attester « de la qualité de la formation » dans le domaine de la protection des données.
Les chantiers de la CNIL
Les autres gros chantiers de la Commission concernent la préparation « au futur cadre européen de régulation de la donnée » : l’AI Act, le Data Governance Act, le Data Act, le Digital Services Act et le Digital Markets Act.
Concernant l’AI Act, la CNIL s’est autosaisie du sujet en créant une unité en janvier 2023 et en montant un plan d’action en mai dernier, après le déferlement de projets et de questionnements provoqués par la vague ChatGPT. Avant cela, l’autorité avait déjà annoncé un accompagnement renforcé de Contentsquare, Hugging Face et Lifen « afin de les guider vers une complète conformité au RGPD » en matière d’intelligence artificielle.
Le Conseil d’État préconise de faire de la Commission l’autorité nationale en matière de régulation de l’intelligence artificielle. Cependant, la CNIL devra collaborer davantage avec l’Arcep, l’Arcom et d’autres autorités pour harmoniser l’application du nouveau paquet réglementaire européen.
« Quels que soient les choix du gouvernement sur l’attribution des rôles dans la mise en œuvre de ces textes, la CNIL fait partie de l’équation, car le RGPD doit s’appliquer conjointement avec le nouveau cadre législatif », écrit Marie-Laure Denis, présidente de la CNIL.
En attendant, la CNIL délivre ses avis et se pose en observatrice.