Comment évolue la politique répressive de la CNIL ces dernières années ?

La CNIL a publié en open data plusieurs jeux de données, notamment sur le nombre de contrôles, de mises en demeure et de sanctions par année depuis 2014. Ces informations sont riches d’enseignement sur l’évolution de la politique de notre autorité de contrôle en matière de protection des données personnelles.

Si le contrôle et la mise en demeure ne sont pas en eux-mêmes des sanctions, ils constituent malgré tout aux yeux des organismes les premiers échelons des mesures répressives de la CNIL, en particulier la mise en demeure lorsqu’elle revêt un caractère public.

Evolution du nombre et du type de contrôles de la CNIL

Le nombre total de contrôles effectués par la CNIL subit un infléchissement notable depuis 2015. Il passe de 498 contrôles en 2015 à 310 contrôles pour l’année 2018, soit une diminution de près de 38%.

Graphique de l'évolution du nombre de contrôles de la CNIL de 2014 à 2018

La proportion du nombre de contrôles en ligne sur le nombre de contrôles global subit le même infléchissement.

Graphique de l'évolution de la proportion du nombre de contrôles en ligne de la CNIL de 2014 à 2018

Il est probable que l’adoption et l’entrée en vigueur du RGPD aient eu un impact conséquent sur la charge de travail des équipes de la CNIL et aient influencé le volume de contrôles réalisés de 2016 à 2018.

Qu’en sera-t-il en 2019 ?

Evolution du nombre de mises en demeure de la CNIL

La courbe du nombre de mises en demeure par année depuis 2014 suit la même évolution que la courbe des contrôles, avec un net recul de leur nombre en particulier à partir de 2017.

Graphique de l'évolution du nombre de mises en demeure de la CNIL de 2014 à 2018

Le volume de mises en demeure a pratiquement été divisé par deux entre 2015, avec 93 décisions, et 2018, avec 48 décisions.

Cependant, un des éléments à relever est l’évolution du type de mise en demeure.

En effet, la proportion de mises en demeure publiques comparée au nombre total de décisions augmente de manière considérable. En 2014, seules 6,5% des mises en demeure étaient rendues publiques. En 2018, 27,1% des décisions l’ont été.

Graphique de l'évolution de la proportion du nombre de mises en demeure publiques prononcées par la CNIL de 2014 à 2018

Un effet du RGPD ?

Evolution du nombre et du type de sanctions de la CNIL

Comparé à la chute du nombre de contrôles et de mises en demeure, le nombre de sanctions de la CNIL se maintient pratiquement au même niveau depuis 2016.

Graphique de l'évolution du volume comparé des contrôles, mises en demeure et sanctions de la CNIL de 2014 à 2018

Néanmoins, comme pour les mises en demeure, la proportion de sanctions publiques augmente largement. En effet, en 2015, la proportion de sanctions publiques représentait 40% de l’ensemble des décisions alors qu’en 2018, elle représente 75%.

Graphique de l'évolution de la proportion du nombre de sanctions publiques prononcées par la CNIL de 2014 à 2018

Enfin, le nombre de sanctions pécuniaires a considérablement augmenté au détriment des avertissements.

Graphique de l'évolution du nombre de sanctions prononcées par la CNIL par type de 2014 à 2018

Cette évolution du type de sanction évoque un durcissement de la politique répressive de la CNIL qui considère, peut-être, que les organismes ont eu suffisamment de temps, depuis l’adoption de la loi « Informatique et Libertés » en 1978, pour s’approprier les grands principes en matière de protection des données personnelles.

Il convient toutefois de préciser que le nombre de sanctions comparé au nombre de procédures de contrôle, souvent le premier élément d’instruction dans un dossier de sanction, reste très limité.

Graphique de l'évolution du nombre de sanctions comparé au nombre de contrôles de la CNIL de 2014 à 2018

En 2018, la proportion de décisions de sanction représente 3,9% du nombre de contrôles.

Conclusion

La politique de la CNIL, jusqu’à présent, a toujours été en faveur de l’accompagnement à la mise en conformité plutôt qu’à la sanction à tout prix.

Cependant, l’année 2019 peut réserver des surprises puisque la présidence de la CNIL a changé en début d’année ainsi qu’une grande partie de ses commissaires.

La nouvelle présidente a en effet indiqué la fin d’une certaine « tolérance » pour les manquements aux nouvelles dispositions introduites par le RGPD depuis le 25 mai 2018.

Les dernières sanctions adoptées par la CNIL en 2019 nous donneront-elles un indice ?

UNIONTRAD COMPANY, sanction pécuniaire publique de 20 000€ (soit environ 2,26% du CA)
GOOGLE LLC, sanction pécuniaire publique de 50 000 000€ (soit environ 0,045% du CA)

Je partage

Derniers articles

miniature article interet legitime europe

La notion d’intérêt légitime au cœur d’un débat européen

En 2020, l’Autorité de Protection néerlandaise a sanctionné une société de diffusion de matchs de football pour violation des règles de protection des données personnelles. Cette décision a provoqué un débat européen autour de la notion d’intérêt légitime. Alice Picard, notre juriste consultante Protection des Données, revient dans le détail sur les ressorts de ce débat.

Lire l'article
edito digitemis par ludovic de carcouet avril 2022

L’édito de Digitemis, par Ludovic de Carcouët (juin 2022)

Cyber humanum est : l’édito de Ludovic de Carcouët, CEO de Digitemis (juin 2022). L’édition 2022 du Forum International de la Cybersécurité (FIC) qui s’est déroulée à Lille la semaine dernière a montré que le facteur humain demeure le socle d’une politique cyber efficace et ambitieuse. L’humain reste le meilleur garant de la solidité et de la continuité d’un écosystème grâce à son savoir-faire, à sa réflexion, à ses compétences, à sa capacité d‘innovation et de réponse aux problématiques technologiques qui se posent. Il est le plus à même de réguler son rapport à la machine et de doser son usage.

Lire l'article