La Cnil a donné un sérieux coup d’accélérateur l’an passé, avec 33 sanctions prononcées contre 21 un an plus tôt, et elle s’est dotée des moyens pour continuer sur sa lancée. D’année en année, le nombre de sanctions qu’elle prononce augmente. Par Alan Walter, associé-fondateur chez Walter Billet Avocats
C’est désormais une certitude : après une première phase de sensibilisation autour des problématiques de conformité au RGPD en matière de traitement des données à caractère personnel, la Commission nationale de l’informatique et des libertés passe résolument à l’offensive. D’année en année, le nombre de sanctions qu’elle prononce augmente, en raison notamment de la progression importante des investigations lancées – de sa propre initiative ou bien à la suite de plaintes provenant des salariés comme des clients.
Une montée en puissance qui cible tous types d’entités
Tous les domaines d’activité sont concernés par cette intensification des contrôles : administrations publiques (de la commune au ministère), professions libérales (médecins, dentistes, etc.) et, bien entendu, entreprises privées. Comme l’indique notre Observatoire des sanctions Cnil, dont la deuxième édition vient d’être dévoilée, la multiplication des sanctions provient notamment du fait que les amendes infligées par la Cnil découlent de plus en plus souvent de procédures simplifiées. Instaurées au printemps 2022, celles-ci lui permettent de statuer rapidement sur des dossiers ne présentant pas de difficulté légale particulière. Dans ce cadre, elle n’a d’ailleurs pas hésité à condamner à de nombreuses reprises à la peine maximale, à hauteur de 20 000 euros d’amende.
Cela étant, les montants des sanctions continuent d’aller bien au-delà, comme la Cnil en avait déjà fait la démonstration au cours des années précédentes. En 2023, le spécialiste des publicités ciblées sur Internet, Criteo, a fait l’objet de la plus importante, soit 40 millions d’euros. Viennent ensuite sur le « podium » : Amazon Logistique France (sanctionné de 32 millions) et Yahoo! EMEA (10 millions).
Un manque de coopération des organismes visés par la Cnil
Rappelons-le une fois encore : toutes les entités qui traitent des données à caractère personnel doivent considérer qu’elles peuvent faire l’objet d’une telle sanction. Surtout, il leur faut garder à l’esprit que si le Comité européen de la protection des données (CEPD) a publié en mai 2023 des lignes directrices relatives au calcul des amendes administratives, celles-ci constituent un document non contraignant. Bien que prenant notamment en compte les montants visés par le RGPD, la gravité du manquement et le chiffre d’affaires de l’organisme incriminé, la Cnil peut en effet réévaluer ce montant, à la hausse comme à la baisse, selon son appréciation de circonstances aggravantes ou atténuantes.
Il est donc tout à fait intéressant de relever que les amendes prononcées en 2023 se fondaient – à plus d’une vingtaine de reprises – principalement sur un manque de coopération des organismes visés par la Cnil. Pour mémoire, toute enquête de cette dernière induit une obligation de cette nature, en vertu de l’article 31 du RGPD. Preuve est ainsi faite que chercher à y échapper ne constitue pas une stratégie efficace. Il ressort d’ailleurs des dossiers sur lesquels nous avons accompagné nos clients que, les enquêtes de la Cnil pouvant s’étaler sur plusieurs mois, il est particulièrement souhaitable de nourrir un dialogue construit avec cette administration, de sorte à pouvoir lui démontrer l’efficacité de la mise en place d’éventuelles mesures correctrices et, finalement, sa bonne foi.