Comment évolue la politique répressive de la CNIL ces dernières années ?

2 Juil 2019
Anne-Sophie CASAL
479
0

La CNIL a publié en open data plusieurs jeux de données, notamment sur le nombre de contrôles, de mises en demeure et de sanctions par année depuis 2014. Ces informations sont riches d’enseignement sur l’évolution de la politique de notre autorité de contrôle en matière de protection des données personnelles.

Si le contrôle et la mise en demeure ne sont pas en eux-mêmes des sanctions, ils constituent malgré tout aux yeux des organismes les premiers échelons des mesures répressives de la CNIL, en particulier la mise en demeure lorsqu’elle revêt un caractère public.

Evolution du nombre et du type de contrôles de la CNIL

Le nombre total de contrôles effectués par la CNIL subit un infléchissement notable depuis 2015. Il passe de 498 contrôles en 2015 à 310 contrôles pour l’année 2018, soit une diminution de près de 38%.

Graphique de l'évolution du nombre de contrôles de la CNIL de 2014 à 2018

La proportion du nombre de contrôles en ligne sur le nombre de contrôles global subit le même infléchissement.

Graphique de l'évolution de la proportion du nombre de contrôles en ligne de la CNIL de 2014 à 2018

Il est probable que l’adoption et l’entrée en vigueur du RGPD aient eu un impact conséquent sur la charge de travail des équipes de la CNIL et aient influencé le volume de contrôles réalisés de 2016 à 2018.

Qu’en sera-t-il en 2019 ?

Evolution du nombre de mises en demeure de la CNIL

La courbe du nombre de mises en demeure par année depuis 2014 suit la même évolution que la courbe des contrôles, avec un net recul de leur nombre en particulier à partir de 2017.

Graphique de l'évolution du nombre de mises en demeure de la CNIL de 2014 à 2018

Le volume de mises en demeure a pratiquement été divisé par deux entre 2015, avec 93 décisions, et 2018, avec 48 décisions.

Cependant, un des éléments à relever est l’évolution du type de mise en demeure.

En effet, la proportion de mises en demeure publiques comparée au nombre total de décisions augmente de manière considérable. En 2014, seules 6,5% des mises en demeure étaient rendues publiques. En 2018, 27,1% des décisions l’ont été.

Graphique de l'évolution de la proportion du nombre de mises en demeure publiques prononcées par la CNIL de 2014 à 2018

Un effet du RGPD ?

Evolution du nombre et du type de sanctions de la CNIL

Comparé à la chute du nombre de contrôles et de mises en demeure, le nombre de sanctions de la CNIL se maintient pratiquement au même niveau depuis 2016.

Graphique de l'évolution du volume comparé des contrôles, mises en demeure et sanctions de la CNIL de 2014 à 2018

Néanmoins, comme pour les mises en demeure, la proportion de sanctions publiques augmente largement. En effet, en 2015, la proportion de sanctions publiques représentait 40% de l’ensemble des décisions alors qu’en 2018, elle représente 75%.

Graphique de l'évolution de la proportion du nombre de sanctions publiques prononcées par la CNIL de 2014 à 2018

Enfin, le nombre de sanctions pécuniaires a considérablement augmenté au détriment des avertissements.

Graphique de l'évolution du nombre de sanctions prononcées par la CNIL par type de 2014 à 2018

Cette évolution du type de sanction évoque un durcissement de la politique répressive de la CNIL qui considère, peut-être, que les organismes ont eu suffisamment de temps, depuis l’adoption de la loi « Informatique et Libertés » en 1978, pour s’approprier les grands principes en matière de protection des données personnelles.

Il convient toutefois de préciser que le nombre de sanctions comparé au nombre de procédures de contrôle, souvent le premier élément d’instruction dans un dossier de sanction, reste très limité.

Graphique de l'évolution du nombre de sanctions comparé au nombre de contrôles de la CNIL de 2014 à 2018

En 2018, la proportion de décisions de sanction représente 3,9% du nombre de contrôles.

Conclusion

La politique de la CNIL, jusqu’à présent, a toujours été en faveur de l’accompagnement à la mise en conformité plutôt qu’à la sanction à tout prix.

Cependant, l’année 2019 peut réserver des surprises puisque la présidence de la CNIL a changé en début d’année ainsi qu’une grande partie de ses commissaires.

La nouvelle présidente a en effet indiqué la fin d’une certaine « tolérance » pour les manquements aux nouvelles dispositions introduites par le RGPD depuis le 25 mai 2018.

Les dernières sanctions adoptées par la CNIL en 2019 nous donneront-elles un indice ?

UNIONTRAD COMPANY, sanction pécuniaire publique de 20 000€ (soit environ 2,26% du CA)
– SERGIC : La CNIL sanctionne à nouveau une société pour un défaut de sécurité sur son site web (soit environ 0,9% du CA)
GOOGLE LLC, sanction pécuniaire publique de 50 000 000€ (soit environ 0,045% du CA)