Protection des données : un record d'actions répressives pour la CNIL en 2021

Sanctions, amendes, mises en demeure... Pour l'année 2021, la Commission nationale de l'informatique et des libertés (CNIL) a annoncé une année record dans le cadre de ses pouvoirs répressifs concernant la protection des données.

Mains de femme consultant son smartphone.
En 2021, la Cnil a prononcé 18 sanctions, pour un montant de plus de 214 millions d'euros. Douze d’entre elles ont été rendues publiques. © Tradol - stock.adobe.com

À l’occasion de la Journée de la protection des données mise en place en 2006 par le Conseil de l'Europe, la CNIL a publié, le 28 janvier 2022, le bilan de son action répressive en 2021.

Créée par la loi informatique et libertés du 6 janvier 1978, la CNIL est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés.

2021, une année record en matière de répression

Centré sur le thème de l'exercice de ses pouvoirs répressifs, le bilan fait de 2021 une année sans précédent. Les décisions ont concerné des secteurs d’activité et des acteurs très divers.

En 2021, la formation restreinte de la CNIL (composée de cinq membres et d'un président distinct du président de la CNIL) a prononcé 18 sanctions, pour un montant cumulé d'amendes de plus de 214 millions d'euros. Douze d’entre elles ont été rendues publiques.

Parmi les manquements les plus fréquents, figurent "le défaut d'information des personnes et des durées de conservation excessives". S'agissant des 18 sanctions, la moitié comporte un manquement en lien avec la sécurité des données personnelles. Or, "les mesures de sécurité prises par les organismes restent souvent insuffisantes". Enfin, quatre sanctions concernent une mauvaise gestion des cookies et autres traceurs.

La CNIL indique d'ailleurs que quatre décisions ont été adoptées en coopération avec ses homologues européens dans le cadre du "guichet unique" prévu par le Règlement général sur la protection des données (RGPD).

Un nombre record de mises en demeure a également été atteint avec 135 décisions prononcées. Parmi ces 135 décisions, 89 d'entre elles comportent un manquement en lien avec l’utilisation des traceurs (utilisation de cookies).

La chaîne répressive de la CNIL

La CNIL dispose d'une chaîne répressive.

Elle peut ainsi recevoir des signalements par des canaux divers (plaintes des usagers, auto-saisine, faits remontés par la presse ou sur la Toile, signalements de la part d'autres CNIL européennes).

Elle procède ensuite à des contrôles sur place, en ligne, sur convocation des acteurs concernés ou par des questions écrites et demandes de documents :

  • soit le contrôle ne génère pas ou peu d'observations et il est clos par l'envoi d'un courrier ;
  • soit le contrôle révèle de sérieux manquements.

Selon la gravité du cas, la présidente de la CNIL peut prononcer une mise en demeure, l'organisme disposant d'un délai de six à douze mois maximum pour se conformer à la demande de la CNIL. 

Les sanctions peuvent aussi être prononcées par la formation restreinte de la CNIL. Cette dernière peut sanctionner directement l'organisme. 

Les sanctions s'appliquent en fonction de la gravité du cas. Elles peuvent être :

  • financières (amende maximum de 4% du chiffre d'affaires mondial ou 20 millions d'euros) ;
  • ou non financières (dans ce cas, la CNIL procède notamment à un rappel à l'ordre ou à une injonction sous astreinte).