La Cnil impose son pouvoir de sanction

La gardienne des libertés personnelles gagne en puissance. Ces dernières années, la Commission nationale de l’informatique et des libertés (Cnil) a pris davantage de sanctions et d’amendes, n’hésitant plus à frapper au portefeuille, aussi bien géants technologiques que PME ou administrations. Sur la seule année 2022, l’organisme a rendu publiques 19 amendes prises au titre du RGPD, dont sept amendes de plus d’un million d’euros, relève le cabinet d’avocats parisien Walter Billet Avocats, dans son tout premier «Observatoire des sanctions Cnil», publié ce lundi.

Cette publication, dévoilée à l’occasion du Data Protection Day, la journée européenne de la protection des données, célébrée ce lundi, vient surtout couronner les cinq ans d’entrée en vigueur du Règlement général sur la protection des données (RGPD) - ce texte qui s’est imposé comme référence à l'échelle européenne en matière de protection des données à caractère personnel.

« Ces dernières années, on a vu la Cnil sortir de son rôle d’autorité administrative pour s’imposer comme véritable gendarme des données personnelles, qui agit comme la Direction générale de de la Concurrence, de la Consommation et de la Répression des fraudes (DGCCRF) », salue Alan Walter, associé-cofondateur du cabinet d’avocats parisien. « Elle a gagné plus de budget, de pouvoirs de contrôle et de sanction, et recruté davantage d'équipes spécialisées », précise-t-il à L’Agefi. Pour l’organisme parapublic, les choses se sont accélérées précisément en 2018 avec l’entrée en vigueur du RGPD en Europe, puisqu’il est chargé de veiller à sa bonne mise en œuvre.

24 millions d’euros de budget en 2022

La Cnil était dotée d’un budget total - voté par le Parlement - de près de 24 millions d’euros en 2022, contre 16,9 millions en 2012, et 6,1 millions en 2001, d’après le site data.gouv.fr. Ses effectifs ont aussi progressé: elle comptait 270 salariés en 2022, contre 170 en 2012, et 70 en 2001, selon la même source. Surtout, son pouvoir de sanction - réclamé depuis de nombreuses années par ses présidents successifs - a été renforcé à la faveur de l’entrée en vigueur de la RGPD. Selon l’article 19 de la Loi Informatique et libertés modifiée, elle est dotée de pouvoirs d’investigation, y compris sur place, auprès des organismes qui traitent des données personnelles. Elle a aussi le pouvoir d’infliger une sanction pécuniaire s’élevant jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaires annuel mondial dans le cas d’une entreprise.

Dans ses 23 prises de positions rendues publiques en 2022, l’institution de la Place de Fontenoy a donc infligé 19 amendes, pour un total de 25,2 millions d’euros, après 15 amendes en 2021, et 11 en 2020. Fait notable, elle recourt de plus en plus de sanctions spectaculaires, avec des amendes d’un montant élevé - «la Cnil semble vouloir indiquer à l’ensemble du marché que le droit à l’erreur n’est visiblement plus de mise, après des premières années d’indulgence», relève Alan Walter.

Microsoft et Infogreffe mis à l’amende

En 2022, elle a prononcé une sanction-record de 60 millions d’euros à l’encontre de Microsoft: des opérations de contrôle avaient confirmé le dépôt de cookies publicitaires sur le terminal des utilisateurs du moteur de recherche Bing.com, et l’absence de bouton permettant de refuser ces cookies. Clearview AI, éditeur d’un logiciel de reconnaissance faciale, lui, s’est vu infliger une amende de 20 millions d’euros, exhorté à cesser la collecte massive et indiscriminée des photos sur internet. Enfin, Apple a été sanctionnée à hauteur de 8 millions d’euros, pour la diffusion de publicités ciblées sans consentement sur son AppStore. Il faut y ajouter le puissant réseau social chinois TikTok, mis à l’amende pour 5 millions d’euros le 29 décembre dernier. Dans les structures françaises sanctionnées figurent deux entreprises publiques, remarque le cabinet : Infogreffe, le GIE des greffes des tribunaux de commerce français (250.000 euros d’amende), mais aussi EDF (600.000 euros) pour manquements au RGPD.

Les motifs les plus pointés par la Cnil ? Une douzaine d’articles du RGPD sont invoqués par le structure dans ses sanctions en 2022. Ils tournent essentiellement autour de la durée de conservation des données, de la notion de consentement de l’utilisateur ; et des défauts de sécurisation.

Pour autant, la Cnil n’est pas infaillible dans ses nouveaux pouvoirs de mise en application du RGPD. Elle vient d’essuyer son premier revers en la matière, ayant dû prononcer un non-lieu après enquête sur les agissements de la société israélo-américaine Lusha, pourtant accusée d’avoir récupéré sans leur consentement, les numéros de téléphone et courriels professionnels de 1,5 million de Français. Le RGPD ne s’applique pas à cette start-up, au motif qu’elle ne possède pas de locaux en Europe.