Comment évolue la politique répressive de la CNIL ces dernières années ?

La CNIL a publié en open data plusieurs jeux de données, notamment sur le nombre de contrôles, de mises en demeure et de sanctions par année depuis 2014. Ces informations sont riches d’enseignement sur l’évolution de la politique de notre autorité de contrôle en matière de protection des données personnelles.

Si le contrôle et la mise en demeure ne sont pas en eux-mêmes des sanctions, ils constituent malgré tout aux yeux des organismes les premiers échelons des mesures répressives de la CNIL, en particulier la mise en demeure lorsqu’elle revêt un caractère public.

Evolution du nombre et du type de contrôles de la CNIL

Le nombre total de contrôles effectués par la CNIL subit un infléchissement notable depuis 2015. Il passe de 498 contrôles en 2015 à 310 contrôles pour l’année 2018, soit une diminution de près de 38%.

La proportion du nombre de contrôles en ligne sur le nombre de contrôles global subit le même infléchissement.

Il est probable que l’adoption et l’entrée en vigueur du RGPD aient eu un impact conséquent sur la charge de travail des équipes de la CNIL et aient influencé le volume de contrôles réalisés de 2016 à 2018.

Qu’en sera-t-il en 2019 ?

Evolution du nombre de mises en demeure de la CNIL

La courbe du nombre de mises en demeure par année depuis 2014 suit la même évolution que la courbe des contrôles, avec un net recul de leur nombre en particulier à partir de 2017.

Le volume de mises en demeure a pratiquement été divisé par deux entre 2015, avec 93 décisions, et 2018, avec 48 décisions.

Cependant, un des éléments à relever est l’évolution du type de mise en demeure.

En effet, la proportion de mises en demeure publiques comparée au nombre total de décisions augmente de manière considérable. En 2014, seules 6,5% des mises en demeure étaient rendues publiques. En 2018, 27,1% des décisions l’ont été.

Un effet du RGPD ?

Evolution du nombre et du type de sanctions de la CNIL

Comparé à la chute du nombre de contrôles et de mises en demeure, le nombre de sanctions de la CNIL se maintient pratiquement au même niveau depuis 2016.

Néanmoins, comme pour les mises en demeure, la proportion de sanctions publiques augmente largement. En effet, en 2015, la proportion de sanctions publiques représentait 40% de l’ensemble des décisions alors qu’en 2018, elle représente 75%.

Enfin, le nombre de sanctions pécuniaires a considérablement augmenté au détriment des avertissements.

Cette évolution du type de sanction évoque un durcissement de la politique répressive de la CNIL qui considère, peut-être, que les organismes ont eu suffisamment de temps, depuis l’adoption de la loi « Informatique et Libertés » en 1978, pour s’approprier les grands principes en matière de protection des données personnelles.

Il convient toutefois de préciser que le nombre de sanctions comparé au nombre de procédures de contrôle, souvent le premier élément d’instruction dans un dossier de sanction, reste très limité.

En 2018, la proportion de décisions de sanction représente 3,9% du nombre de contrôles.

Conclusion

La politique de la CNIL, jusqu’à présent, a toujours été en faveur de l’accompagnement à la mise en conformité plutôt qu’à la sanction à tout prix.

Cependant, l’année 2019 peut réserver des surprises puisque la présidence de la CNIL a changé en début d’année ainsi qu’une grande partie de ses commissaires.

La nouvelle présidente a en effet indiqué la fin d’une certaine « tolérance » pour les manquements aux nouvelles dispositions introduites par le RGPD depuis le 25 mai 2018.

Les dernières sanctions adoptées par la CNIL en 2019 nous donneront-elles un indice ?

– UNIONTRAD COMPANY, sanction pécuniaire publique de 20 000€ (soit environ 2,26% du CA)
– GOOGLE LLC, sanction pécuniaire publique de 50 000 000€ (soit environ 0,045% du CA)

Je partage