L’analyse du 40eme rapport annuel de la CNIL nous apporte plusieurs enseignements sur la politique répressive qui a été menée par la CNIL en 2019.
I. Les mises en demeure
La Présidente de la CNIL a prononcé 42 mises en demeure dont 2 rendues publiques qui font suite :
- Pour 52% à l’instruction de plaintes (19% en 2018) ;
- Pour 17% à la réalisation de contrôles sur le fondement de plaintes (19 % en 2018) ;
- Pour 31% à des missions effectuées sur la base du programme annuel des contrôles défini par la CNIL, ou effectuées à l’initiative de la CNIL en lien avec l’actualité (60 % en 2018).
Aucune mise en demeure n’a eu pour source une notification de violation de données à caractère personnel (le rapport d’activité 2018 recensait 2% de mises en demeures faisant suite à une notification de violation de données).
La CNIL a donc prononcé un peu moins de mises en demeures qu’en 2018, année qui avait été marquée par l’augmentation substantielle du nombre de mises en demeure rendues publiques : 49 mises en demeure dont 13 rendues publiques.
Sur la source des mises en demeures, la CNIL indique, dans son dernier rapport d’activité, que : « L’année 2019 montre une tendance inversée par rapport à 2018 s’agissant de l’origine des mises en demeure puisque celles-ci ont dorénavant comme source principale les plaintes que reçoit la CNIL. ».
II. Les sanctions
La formation restreinte de la CNIL a prononcé, en 2019, 8 sanctions :
- 7 amendes administratives dont 4 ont fait l’objet d’injonctions sous astreinte allant de 200 à 3 000 euros par jour de retard et 5 ont été rendues publiques ;
- 1 injonction sous astreinte.
Il y a donc eu moins de sanctions prononcées en 2019 qu’en 2018 (10 sanctions pécuniaires dont 9 rendues publiques et 1 avertissement non-public).
Le montant total annuel des sanctions prononcées en 2019 s’élève à 51 370 000 euros contre 1 196 000 euros en 2018. Ce montant est à relativiser compte tenu de la sanction record de 50 000 000 euros prononcée à l’encontre de la société GOOGLE en janvier 2019.
Il convient de relever que la formation restreinte a fait usage, à plusieurs reprises, de son nouveau pouvoir tel que prévu par le RGPD : l’injonction avec astreinte.
Dans son rapport, la CNIL explique ses prérogatives dans les termes suivants :
« La formation restreinte peut, lorsqu’un responsable de traitement ou un sous-traitant ne respecte pas le RGPD ou la loi Informatique et Libertés, prononcer une injonction de mettre en conformité le traitement ou de satisfaire aux demandes d’exercice des droits des personnes. Cette injonction peut être assortie d’une astreinte, sauf dans les cas où le traitement est mis en œuvre par l’État. Son montant ne peut excéder 100 000 euros par jour de retard à compter de la date fixée par la formation restreinte. L’injonction est utilisée lorsqu’un manquement est constitué mais que le responsable de traitement ou le sous-traitant ne s’est pas mis en conformité au jour où la formation restreinte se prononce. Cette mesure correctrice permet ainsi d’atteindre la mise en conformité dans un délai contraint puisqu’une fois ce délai dépassé, une astreinte commence à courir jusqu’à ce que le responsable de traitement ou le sous-traitant se soit mis en conformité.»
Enfin, sur les manquements relevés, nous notons que 6 sanctions sur 8 ont été prises à raison d’un manquement à l’obligation de sécurité.
