Données personnelles: la Cnil a prononcé 21 sanctions en 2022 pour un montant total de plus de 101 millions d’euros

297

La Cnil, gardienne des données personnelles des Français, a prononcé 21 sanctions en 2022 pour un montant total de plus de 101 millions d’euros, en diminution par rapport aux années précédentes, a-t-elle annoncé mardi dans un communiqué. Le montant cumulé des amendes avaient atteint le niveau record de 214 millions d’euros en 2021, après 138 millions d’euros en 2020. Mais en 2022, l’activité répressive de la Cnil a surtout «été marquée par une réforme importante des procédures correctrices», avec «un nombre record de mises en demeures» (147 contre 135 en 2021 et une cinquantaine les années précédentes). Ces mesures, facilitées par la loi relative à la responsabilité pénale et à la sécurité intérieure, ont concerné l’obligation de désigner un délégué à la protection des données, l’application des règles sur la prospection commerciale, ou les transferts de données outre-Atlantique. 72 d’entre elles comportent au moins un manquement lié à la cybersécurité, précise la Cnil. «Cette nouvelle procédure a notamment été créée pour traiter les dossiers ne présentant pas de difficulté particulière, et permettre ainsi à la Cnil de mieux agir face aux plaintes de plus en plus nombreuses», selon la Commission. En 2022, celle-ci a reçu 12.000 plaintes et en a traité 13.000, réussissant ainsi pour la première fois à faire diminuer le stock de quelque 7.000 signalements encore en attente, a expliqué son secrétaire général Louis Dutheillet de Lamothe. Depuis l’entrée en vigueur du Règlement européen sur la protection des données (RGPD) en 2018, la Cnil a prononcé un peu plus de 500 millions d’euros d’amende, soit un cinquième du total des amendes décidées par les autorités européennes (2,5 milliards d’euros). 

Les Gafam ont été particulièrement ciblés sur le respect des règles concernant l’information préalable et le consentement au dépôt des traceurs permettant la publicité ciblée, des sujets sur laquelle la Cnil s’estime compétente au titre de la directive ePrivacy. En 2022, cela a été le cas de Microsoft, sanctionné par une amende de 60 millions d’euros, la plus importante de l’année, rendue publique fin décembre, puis d’Apple, avec une récente amende de 8 millions d’euros que l’entreprise entend contester. La Cnil a enfin adopté 3 décisions «en coopération avec ses homologues européens» et a «activement participé à 5 procédures» engagées au niveau européen pour régler des litiges sur des projets de décision.