Comment évolue la politique répressive de la CNIL ces dernières années ?

La CNIL a publié en open data plusieurs jeux de données, notamment sur le nombre de contrôles, de mises en demeure et de sanctions par année depuis 2014. Ces informations sont riches d’enseignement sur l’évolution de la politique de notre autorité de contrôle en matière de protection des données personnelles.

Si le contrôle et la mise en demeure ne sont pas en eux-mêmes des sanctions, ils constituent malgré tout aux yeux des organismes les premiers échelons des mesures répressives de la CNIL, en particulier la mise en demeure lorsqu’elle revêt un caractère public.

Evolution du nombre et du type de contrôles de la CNIL

Le nombre total de contrôles effectués par la CNIL subit un infléchissement notable depuis 2015. Il passe de 498 contrôles en 2015 à 310 contrôles pour l’année 2018, soit une diminution de près de 38%.

Graphique de l'évolution du nombre de contrôles de la CNIL de 2014 à 2018

La proportion du nombre de contrôles en ligne sur le nombre de contrôles global subit le même infléchissement.

Graphique de l'évolution de la proportion du nombre de contrôles en ligne de la CNIL de 2014 à 2018

Il est probable que l’adoption et l’entrée en vigueur du RGPD aient eu un impact conséquent sur la charge de travail des équipes de la CNIL et aient influencé le volume de contrôles réalisés de 2016 à 2018.

Qu’en sera-t-il en 2019 ?

Evolution du nombre de mises en demeure de la CNIL

La courbe du nombre de mises en demeure par année depuis 2014 suit la même évolution que la courbe des contrôles, avec un net recul de leur nombre en particulier à partir de 2017.

Graphique de l'évolution du nombre de mises en demeure de la CNIL de 2014 à 2018

Le volume de mises en demeure a pratiquement été divisé par deux entre 2015, avec 93 décisions, et 2018, avec 48 décisions.

Cependant, un des éléments à relever est l’évolution du type de mise en demeure.

En effet, la proportion de mises en demeure publiques comparée au nombre total de décisions augmente de manière considérable. En 2014, seules 6,5% des mises en demeure étaient rendues publiques. En 2018, 27,1% des décisions l’ont été.

Graphique de l'évolution de la proportion du nombre de mises en demeure publiques prononcées par la CNIL de 2014 à 2018

Un effet du RGPD ?

Evolution du nombre et du type de sanctions de la CNIL

Comparé à la chute du nombre de contrôles et de mises en demeure, le nombre de sanctions de la CNIL se maintient pratiquement au même niveau depuis 2016.

Graphique de l'évolution du volume comparé des contrôles, mises en demeure et sanctions de la CNIL de 2014 à 2018

Néanmoins, comme pour les mises en demeure, la proportion de sanctions publiques augmente largement. En effet, en 2015, la proportion de sanctions publiques représentait 40% de l’ensemble des décisions alors qu’en 2018, elle représente 75%.

Graphique de l'évolution de la proportion du nombre de sanctions publiques prononcées par la CNIL de 2014 à 2018

Enfin, le nombre de sanctions pécuniaires a considérablement augmenté au détriment des avertissements.

Graphique de l'évolution du nombre de sanctions prononcées par la CNIL par type de 2014 à 2018

Cette évolution du type de sanction évoque un durcissement de la politique répressive de la CNIL qui considère, peut-être, que les organismes ont eu suffisamment de temps, depuis l’adoption de la loi « Informatique et Libertés » en 1978, pour s’approprier les grands principes en matière de protection des données personnelles.

Il convient toutefois de préciser que le nombre de sanctions comparé au nombre de procédures de contrôle, souvent le premier élément d’instruction dans un dossier de sanction, reste très limité.

Graphique de l'évolution du nombre de sanctions comparé au nombre de contrôles de la CNIL de 2014 à 2018

En 2018, la proportion de décisions de sanction représente 3,9% du nombre de contrôles.

Conclusion

La politique de la CNIL, jusqu’à présent, a toujours été en faveur de l’accompagnement à la mise en conformité plutôt qu’à la sanction à tout prix.

Cependant, l’année 2019 peut réserver des surprises puisque la présidence de la CNIL a changé en début d’année ainsi qu’une grande partie de ses commissaires.

La nouvelle présidente a en effet indiqué la fin d’une certaine « tolérance » pour les manquements aux nouvelles dispositions introduites par le RGPD depuis le 25 mai 2018.

Les dernières sanctions adoptées par la CNIL en 2019 nous donneront-elles un indice ?

UNIONTRAD COMPANY, sanction pécuniaire publique de 20 000€ (soit environ 2,26% du CA)
GOOGLE LLC, sanction pécuniaire publique de 50 000 000€ (soit environ 0,045% du CA)

Je partage

Derniers articles

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article

Angular, N’Tier et HttpOnly

Avec l’apparition au cours de la décennie 2010 des environnements de travail Javascript de plus en plus puissants, l’architecture N’Tiers, si elle était déjà une norme dans le contexte d’application d’entreprises au cours des années 2000, a pu voir son modèle s’étendre à de nombreuses solutions Web. Ce modèle repose sur l’utilisation de technologies exécutées par le navigateur. Or, il arrive parfois que cette couche doive gérer une partie de l’authentification de l’utilisateur, pourtant une recommandation courante sur l’authentification est qu’elle ne doit jamais être côté client. Aussi, les cookies devraient toujours posséder l’attribut HttpOnly, empêchant leur lecture par une couche Javascript et ce afin d’empêcher tout vol de session lors d’une attaque de type XSS. Pourtant, cet attribut empêche littéralement l’application front-end de travailler avec ces éléments. Comment gérer au mieux ces questions sur ce type de déploiement ?

Lire l'article