« La CNIL sanctionne tout défaut de coopération »

Dans la deuxième édition de votre observatoire, vous avez identifié 33 sanctions de la CNIL pour manquement au RGPD, l’an dernier. Ce faible nombre de contrevenants ne signifie-t-il pas que le risque de faire l’objet d’une pénalité financière est limité ?

Alan Walter : Il faut aborder cette question sous un angle dynamique pour bien prendre la mesure de ces risques. Notre étude souligne en effet que le nombre de sanctions est en nette progression, puisque l’on en totalisait seulement 21, un an plus tôt. Surtout, cette augmentation démontre qu’après avoir opté pour une première phase que l’on pourrait qualifier de sensibilisation et d’éducation du marché, la CNIL se met résolument en ordre de marche. Cette hausse du nombre d’amendes est d’ailleurs tout à fait logique, puisqu’elle avait aussi indiqué avoir établi un record en 2022, avec 147 mises en demeure. Enfin, n’oublions pas également que l’entrée en vigueur du RGPD remonte seulement à mai 2018 et qu’une montée en puissance progressive des sanctions résulte de procédures d’investigation prenant souvent plusieurs mois. Mieux vaut donc considérer que de telles enquêtes, débouchant sur de potentielles amendes, sont désormais la règle.

Existe-t-il un profil type des cibles privilégiées ?

A. W. : Toutes les entités qui traitent des données à caractère personnel sont concernées par le règlement européen, entraînant par là même une variété de structures ayant fait l’objet d’une sanction en 2023. Cela transparaît d’ailleurs dans le panorama que nous avons dressé : après avoir dans un premier temps concentré l’essentiel de ses amendes sur des grands groupes d’envergure internationale (Microsoft, Apple, Facebook…), l’autorité administrative n’a pas hésité à élargir son spectre d’intervention. Outre des entreprises de toutes tailles – comme Criteo, cible de la plus forte amende de l’année 2023 (40 millions d’euros), Amazon Logistique France (32 millions), Yahoo EMEA (10 millions), ou encore Canal Plus (0,6 million) et Doctissimo (0,38 million) –, ces sanctions ont concerné des administrations publiques (allant de la commune au ministère), mais aussi des professions libérales – en particulier dans le domaine de la santé.

Comment la CNIL a-t-elle procédé, concrètement ?

A. W. : L’administration a beaucoup utilisé la procédure simplifiée, instaurée au printemps 2022 pour les dossiers ne présentant pas de difficulté légale particulière. Telle fut la modalité opératoire retenue à une vingtaine de reprises, l’an dernier. En outre, elle n’a pas hésité à condamner plusieurs fois au paiement de la peine maximale prévue dans ces circonstances, soit 20 000 euros d’amende. Ce fut en particulier le cas lorsque l’entité visée n’avait pas coopéré lors de l’enquête menée par la CNIL, comme exigé par l’article 31 du RGPD. Preuve en est, si besoin était encore, qu’il est indispensable de nouer un dialogue construit pour éviter de se retrouver confronté à une sanction sévère – quelle que soit la procédure retenue. L’exemple le plus frappant de ce qu’il convient de ne pas faire est certainement celui de Clearview AI, l’entreprise américaine spécialisée dans la reconnaissance faciale qui avait été condamnée à 20 millions d’euros d’amende en 2022. Celle-ci n’ayant pas donné suite, elle a fait l’objet d’une amende supplémentaire de 5,2 millions en mai dernier, lors de la clôture d’injonction de la CNIL.

Comment évoluent les montants des amendes ?

A. W. : Ils varient évidemment selon la gravité et la multiplicité des manquements constatés au RGPD. Cela étant, depuis mai 2023, il est possible pour toute entité concernée d’évaluer les potentielles condamnations auxquelles elles s’exposent, puisque le Comité européen de protection des données (CEPD) a adopté une ligne directrice relative au calcul des amendes administratives, à laquelle chaque administration nationale peut se référer. Attention, toutefois : ce document est non contraignant pour établir le montant des sanctions prononcées. Prenant en compte les montants visés par le RGPD, la gravité du manquement et le chiffre d’affaires de l’entité incriminée, il permet uniquement d’établir un montant, lequel peut être par la suite réévalué en cas de circonstances aggravantes – comme une récidive – ou atténuantes (telle que la mise en place rapide d’actions correctrices).

Est-ce qu’après cinq années passées sous l’égide du RGPD, les comportements changent ?

A. W. : Il est évident que nul ne peut plus évoluer sans avoir un minimum conscience des problématiques liées à la gestion des données personnelles… même si du chemin reste à parcourir pour que le souci de la conformité aille au-delà des seules entreprises traitant les données commerciales de leurs clients. En parallèle, il faut noter aussi que les usagers ont pleinement intégré l’existence du RGPD et les droits que celui-ci leur confère : sept sanctions tombées en 2023 résultent de plaintes déposées par des individus – notamment de salariés – ou par des associations. La prise de conscience est générale et il y a fort à parier que le nombre des amendes continue d’augmenter à l’avenir.