Dans son bilan 2023 publié le 16 février 2024, la CNIL présente un état des lieux chiffré des mesures répressives mises en œuvre.
168 mises en demeure et 42 sanctions
Le bilan souligne un nombre "record" de mises en demeures. En 2023, 168 décisions ont été prononcées contre 147 en 2022. Cette augmentation s'inscrit dans la politique initiée par la CNIL de privilégier la "conformité à la mesure punitive" et concerne diverses thématiques (exercice des droits, défaut de coopération avec la CNIL, géolocalisation des véhicules).
De surcroît, dans le cadre de ses missions, la CNIL a prononcé 42 sanctions dont 14 d'entre elles ont été rendues publiques. De la publicité et du commerce en ligne à la sécurité et au traitement de données de santé, la CNIL sanctionne divers secteurs et acteurs. Les sanctions infligées concernent aussi bien le secteur public que le privé, les petites entreprises que les multinationales.
Parmi les sanctions d’ampleur, la CNIL rappelle le principe selon lequel "le démarchage publicitaire, qu’il prenne la forme d’un message électronique ou bien celle d’une publicité ciblée sur un site web, ne peut se faire que lorsque la personne concernée a préalablement donné son consentement".
Depuis la mise en place d’un guichet unique prévu par le Règlement Général sur la Protection des données (RGPD), six des décisions de sanction ont été adoptées en coopération avec les homologues européens. En outre, la CNIL est intervenue dans deux procédures de règlement de litiges engagées au niveau du Comité européen de la protection des données contre le groupe META et la société TIKTOK.
Une intensification du recours à la procédure de sanction simplifiée
Instaurée en 2022, la procédure de sanction simplifiée fait l'objet d'un recours accru au cours de l'année 2023. Elle concerne les dossiers peu complexes ou de faible gravité.
En 2023, 24 des 42 sanctions prononcées ont été adoptées par le biais de cette procédure pour un montant total de 229 500 euros.
Parmi les manquements les plus fréquents figure le défaut de coopération. Ainsi, ce sont 15 organismes privés et publics qui ont fait l’objet de sanctions pour "n’avoir pas répondu à ses sollicitations".
Par ailleurs, la CNIL sanctionne sept organismes dont les mesures de protection des données n’assurent pas une sécurité nécessaire pour ses utilisateurs.
La CNIL confirme "l'efficacité de la procédure pour répondre aux attentes de plaignants" au regard des 17 décisions prononcées à la suite d'un dépôt de plainte auprès de la CNIL.
