Contrôles de la CNIL et sanctions : les principales tendances
Bilan 2022 des tendances - contrôles et sanctions - de la CNIL. Tribune co-écrite par Florence Chafiol (partner), Stéphanie Lapeyre (avocate senior) et Alexandra Antalis (avocate)
La Commission nationale de l'informatique et des libertés (« CNIL ») est sans nul doute l’une des autorités de contrôle de l’Union européenne les plus réactives au regard du nombre de délibérations prononcées mais également du montant total des amendes infligées, qui avoisinent un demi-milliard d’euros au total au cours des trois dernières années.
Si les géants du net sont les plus touchés[1] avec des amendes records de l’ordre de 60 millions d’euros à l’encontre de Facebook[2] ou encore 150 millions d’euros à l’encontre de Google[3], aucun secteur n’est pour autant épargné. De la téléphonie mobile[4] à la grande distribution[5] en passant par l’édition de logiciels[6], le transport[7], la vente en ligne[8] ou encore l’assurance[9], toute société peut se retrouver à un moment donné dans le collimateur de l’autorité de contrôle, ce que la CNIL rappelle d’ailleurs explicitement dans le bilan 2022 de son action répressive.
Les manquements reprochés sont en outre aussi variés que les secteurs visés : absence de consentement, manque de transparence, défaut de base légale, mesures de sécurité insuffisantes, violation de données non notifiée, non-respect des droits des personnes, conservation excessive des données, rien n’échappe au regard minutieux de la CNIL.
Face à ce constat, les entreprises sont de plus en plus effrayées à l’idée d’être dans le collimateur de l’autorité. Car au-delà du préjudice financier, c’est également l’atteinte à leur image que les entreprises redoutent. A une époque où la donnée personnelle devient la raison d’être de nombreux métiers et un enjeu stratégique majeur, avoir mauvaise presse dans ce domaine peut avoir un réel impact. Pour autant, souvent mal renseignées sur les procédures de contrôle et de sanction de la CNIL, les entreprises ne savent pas toujours mesurer leurs risques.
Suis-je réellement susceptible d’être contrôlé par la CNIL ? Quelles peuvent être les conséquences d’un tel contrôle ? En cas de procédure contentieuse, quelles sont les issues probables ? C’est sur ces questions qu’il est intéressant de se pencher pour aider les organismes à comprendre les actions de la CNIL et les grandes tendances dans ce domaine et ainsi à mieux savoir comment se positionner.
Procédures de contrôle
La CNIL a réalisé, au cours de l’année 2022, 345 contrôles, soit plus d’un contrôle par jour ouvré. Si la CNIL oriente prioritairement ses actions sur les thématiques identifiées dans son programme annuel de contrôle (voir ici celui de 2023), la réception de plaintes à l’encontre des pratiques d’une société ou la révélation de manquements par les médias sont également deux éléments majeurs à l’origine des interventions de l’autorité. C’est pourquoi il est primordial, afin de limiter les risques, d’une part de protéger au mieux les droits des personnes, notamment en cas de demande d’accès ou de suppression de leurs données dont le non-respect est très souvent à l’origine de réclamations, et, d’autre part, de suivre l’actualité afin de renforcer tout particulièrement sa conformité dans les domaines identifiés par la CNIL ou stigmatisés par la presse.
La CNIL peut effectuer différents types de contrôles mais privilégie souvent, dans un premier temps, les contrôles sur place (30% des contrôles en 2021) et les contrôles en ligne (45 % des contrôles en 2021). D’où l’importance de soigner son site internet ou application mobile dont la vérification de conformité est particulièrement aisée et peut être réalisée à tout moment par la CNIL sans avoir à notifier préalablement l’organisme visé (ce dernier n’étant informé de la réalisation du contrôle que lors de la réception du procès-verbal qui ne lui est dans certains cas transmis que plusieurs semaines voire mois après la réalisation dudit contrôle). La CNIL n’est cependant pas tenue de s’arrêter à un seul contrôle auprès d’une même entité : il arrive fréquemment par exemple qu’un contrôle en ligne soit ensuite suivi d’un contrôle sur place puis sur pièces, ou encore que deux contrôles en ligne successifs soient réalisés à quelques mois d’intervalle. Cela permet ainsi à l’autorité d’évaluer de manière plus granulaire les traitements de données en jeu, s’éloignant parfois du manquement à l’origine même de la décision de contrôle initiale, et d’évaluer l’évolution des pratiques au cours du temps. Une même procédure de contrôle peut donc s’étaler sur plusieurs mois, voire années au cours desquel(le)s il est important que l’organisme se montre diligent et réactif en prenant toute mesure de mise en conformité qui pourrait s’avérer nécessaire. Si une mise en conformité en cours de contrôle ne permet pas nécessairement d’échapper à une procédure de sanction, elle peut néanmoins dans certains cas en limiter l’impact.
A la suite du ou des contrôle(s) réalisé(s), la CNIL peut décider, après quelques mois d’instruction du dossier, de clôturer la procédure si aucun manquement n’est avéré ou de seulement prononcer un rappel à l’ordre si les manquements identifiés sont mineurs. Pour des manquements plus significatifs, la présidente de la CNIL va prononcer une mise en demeure d’adopter des mesures correctives dans un délai imparti, qui peut être rendue publique, ou directement désigner un rapporteur pour engager une procédure de sanction. Ce dernier cas, qui est évidemment le plus défavorable, reste néanmoins l’issue la moins fréquente puisque le ratio entre le nombre de contrôles réalisés par an versus le nombre de sanctions prononcées reste faible (19 délibérations de la CNIL prononçant des sanctions pour 345 contrôles en 2022).
Procédure de sanction
Il existe désormais deux procédures de sanction différentes : la procédure de sanction simplifiée[10] pour les dossiers peu complexes ou de faible gravité et la procédure de sanction « ordinaire » qui sera évoquée ci-après et qui représente presque 80% des délibérations adoptées par la CNIL en 2022.
Lorsqu’une procédure de sanction (ordinaire) est engagée, le rapporteur désigné par la CNIL rédige un rapport avec ses observations et les sanctions, quasi systématiquement financières, qu’il recommande à la formation restreinte de la CNIL de prononcer à l’encontre de l’organisme visé.
Malgré tous les calculs auxquels les organismes peuvent s’adonner pour tenter d’anticiper le montant de l’amende qui sera requise, ce dernier est cependant très difficile à prévoir. D’une part parce que chaque procédure de sanction est unique et divers facteurs propres à un organisme sont pris en compte par le rapporteur (son chiffre d’affaires, la nature des manquements, les actions de remédiation mises en place, la nature des données traitées, le nombre de personnes impactées, les conséquences des manquements sur ces dernières, etc.) et d’autre part parce que le rapporteur lui-même peut faire évoluer sa position en fonction des réponses apportées par l’organisme à son rapport. Il peut ainsi arriver, même si cela reste rare, que le rapporteur diminue par deux au cours de la procédure le montant de l’amende initialement proposé.
De la même manière, il est très difficile d’anticiper la décision prise in fine par la formation restreinte de la CNIL. Certaines tendances se dégagent néanmoins :
- Les arguments de procédure (irrégularités, manque d’impartialité, incompétence matérielle ou territoriale de l’autorité, etc.) invoqués par l’organisme ciblé sont quasi systématiquement rejetés par la CNIL.
- La CNIL, qui n’est pas tenue de suivre la position du rapporteur, prononce presque toujours dans les faits une sanction financière d’un montant équivalent ou inférieur à celui requis par ce dernier[11].
- Certains éléments[12] peuvent jouer en faveur de l’organisme ciblé, dont notamment son degré de coopération avec l’autorité lors de la phase de contrôle, sa mise en conformité en cours de procédure et le caractère non intentionnel des manquements. Si une telle mise en conformité ne permet pas d’éviter le prononcé d’une sanction en tant que telle, elle peut parfois minorer son montant mais surtout éviter à l’organisme le prononcé d’une injonction avec astreinte (c’est-à-dire l’obligation de payer une somme d’argent par jour de retard dans la mise en place des actions de remédiation ordonnées). En effet, lorsque l’organisme a mis en place l’intégralité des actions de remédiation requises avant même la séance de la formation restreinte, il est souvent décidé, parfois directement au cours de la séance, de supprimer l’injonction demandée par le rapporteur. En 2022, sur l’ensemble des délibérations prononcées par la CNIL, environ 35% d’entre elles ont été assorties d’une injonction avec astreinte tandis qu’en 2021 ce chiffre était d’environ 40%. Il est intéressant de noter que le montant moyen des astreintes est de 500 euros par jour de retard (ce montant étant cependant bien plus élevé pour les GAFAM puisqu’il se situait entre 60 000 et 100 000 euros par jour de retard dans les dernières délibérations de la CNIL) et correspond généralement au montant proposé par le rapporteur.
- Inversement, les avantages financiers que l’organisme a pu tirer du fait du manquement et son refus de répondre aux questions de la CNIL et de faire évoluer ses pratiques, constituent souvent des circonstances aggravantes qui ont tendance à alourdir la sanction décidée par l’autorité. La CNIL semble en outre sanctionner plus durement les manquements impliquant des données sensibles ou impactant un très grand nombre d’individus.
Une fois que la formation restreinte de la CNIL a rendu sa délibération, qu’elle publie souvent (65 % des délibérations prises ont été rendues publiques en 2022 et 70% en 2021[13]), l’organisme mis en cause peut former un recours devant le Conseil d'État. Entre 2018 et 2021, sur 50 délibérations de la formation restreinte prononçant des sanctions, 11 d’entre elles ont fait l’objet d’un recours devant le Conseil d’Etat. Ce dernier ne remet cependant que rarement en question la décision prise par la CNIL puisque sur ces 11 recours, 9 requêtes ont été rejetées tandis que seulement 2 amendes administratives ont été diminuées (une seule prise sur le fondement du Règlement Général sur la Protection des Données[14]).
Florence Chafiol (partner), Stéphanie Lapeyre (avocate senior) et Alexandra Antalis (avocate)
[1] En 2022, sur les 101 277 900 d’euros de sanctions prononcées, 68 000 000 d’euros concernaient les GAFAM, (soit 67% du montant total des amendes prononcées). En 2021, sur les 214 000 000 d’euros de sanctions prononcées, 210 000 000 d’euros concernaient les GAFAM (soit 98% du montant total des amendes prononcées).
[2] Délibération de la formation restreinte n°SAN-2021-024 du 31 décembre 2021 concernant la société FACEBOOK IRELAND LIMITED.
[3] Délibération de la formation restreinte n°SAN-2021-023 du 31 décembre 2021 concernant les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED.
[4]Délibération de la formation restreinte n°SAN-2022-022 du 30 novembre 2022 concernant la société FREE.
[5] Délibération de la formation restreinte no SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR France.
[6] Délibération de la formation restreinte n° SAN-2022-009 du 15 avril 2022 concernant la société DEDALUS BIOLOGIE.
[7] Délibération de la formation restreinte n°SAN-2021-019 du 29 octobre 2021 concernant la société REGIE AUTONOME DES TRANSPORTS PARISIENS.
[8] Délibération de la formation restreinte n°SAN-2020-003 du 28 juillet 2020 concernant la société SPARTOO.
[9] Délibération de la formation restreinte n°SAN-2021-010 du 20 juillet 2021 concernant la société SGAM AG2R La Mondiale.
[10] La procédure simplifiée (créée par la loi n°2022-52 du 24 janvier 2022 et dont les modalités ont été précisées dans le décret n°2022-517 du 8 avril 2022) suit les mêmes étapes que la procédure de sanction « ordinaire » (nomination d’un rapporteur, délais identiques, procédure contradictoire). Toutefois, les modalités de mise en œuvre sont allégées : le président de la formation restreinte statue seul et aucune séance publique n’est organisée. La procédure est uniquement écrite sauf si l’organisme demande à être entendu. Les sanctions susceptibles d’être prononcées dans le cadre de la procédure simplifiées sont limitées : rappel à l’ordre, amende d’un montant maximum de 20 000 €, injonction avec astreinte plafonnée à 100 € par jour de retard.
[11] Seule délibération à notre connaissance ayant fait l’objet d’une sanction d’un montant plus élevé que celui demandé par le rapporteur : Délibération de la formation restreinte n°SAN-2022-025 du 29 décembre 2022 concernant la société APPLE DISTRIBUTION INTERNATIONAL.
[12] Voir l’article 83.2 du Règlement Général sur la Protection des Données.
[13] En 2021, sur les 6 délibérations non publiées, quatre d’entre elles ont été prises sur le fondement de la procédure de sanction simplifiée qui ne prévoit pas la publicité des délibérations et 2 d’entre elles concernaient un garagiste et un restaurant. De manière générale, la CNIL ne publie pas les délibérations prises à l’encontre d’entrepreneurs individuels, de restaurants, de médecins ou de très petites entreprises puisque cela serait extrêmement dommageable pour leur activité.
[14] Délibération de la formation restreinte no SAN-2020-014 du 7 décembre 2020 concernant Monsieur [...] - Décision n° 449694 du Conseil d’Etat, 10ème - 9ème chambres réunies, 22 juillet 2022.