La Cnil de moins en moins clémente avec les collectivités

Le bilan 2023 de la Commission nationale de l'informatique et liberté (Cnil) fait état d'une augmentation des sanctions prononcées à l'égard des entités publiques. Si les collectivités ne répondent pas aux mises en demeure de la Cnil, elles doivent s'attendre à des sanctions financières.

La Cnil a publié le 16 février un bilan de son action répressive en 2023. La Cnil a instruit au cours de l'année plus de 16.000 plaintes, procédé à 340 contrôles, prononcé 168 mises en demeure et 42 sanctions. Des chiffres globalement en progression par rapport à 2022.

39 collectivités mises en demeure

Les mises en demeure, qui visent à obtenir la mise en conformité d'un organisme, ont ainsi plus que triplé depuis 2020 car la Cnil juge la mesure "efficace", notamment quand il s'agit de rappeler à l'ordre une administration publique. Ainsi, en 2023, 39 communes ayant déployé des lecteurs automatisés de plaques d’immatriculation ou Lapi pour des finalités de police administrative et judiciaire ont écopé d'une mise en demeure. La Cnil rappelle qu'en l'état de la réglementation, "seuls les services de police nationale ou de gendarmerie – et non les communes – peuvent mettre en œuvre de tels dispositifs". Au titre de leurs obligations de cybersécurité, 39 organismes tels que des régions, communes ou communauté de communes (le détail n'est pas donné) ont par ailleurs été mis en demeure pour ne pas avoir déployé le protocole de communication sécurisé HTTPS sur leur site internet.

Première sanction financière ciblant une commune

Si la mise en demeure reste sans effet ou si les manquements sont particulièrement graves, la Cnil n'hésite pas à prononcer des sanctions financières. Pour preuve, la commune de Kourou (Guyane) avait fait l'objet d'une mise en demeure en 2022 pour ne pas avoir désigné son délégué à la protection des données comme 21 autres communes (voir notre article du 31 mai 2022). Si la quasi-totalité de ces dernières se sont mises en conformité en 2022, la commune guyanaise n'a pas donné suite aux demandes répétées de la Cnil. La Commission l'a donc sanctionnée en décembre 2023, lui infligeant une amende de 5.000 euros et une injonction de se mettre en conformité dans un délai de deux mois, assortie d’une astreinte de 150 euros par jour de retard.

90 millions d'euros d'amendes

Sur les 42 sanctions prononcées, plus de la moitié des sanctions ont utilisé la "procédure simplifiée" qui permet d'accélérer la procédure. Le montant des amendes atteint cette année près de 90 millions d'euros, en baisse de 10 millions par rapport à 2022. La Commission précise que les sanctions "ont aussi bien été prononcées contre de petites entreprises qu’à l’encontre de multinationales et ont concerné tant le secteur privé que le secteur public". Six décisions, notamment à l'égard de Meta et TikTok, ont été prises en coopération avec les homologues européens de la Cnil. Les ministères de la Fonction publique et de l'Économie ont pour leur part fait l'objet d'un "rappel à l'ordre" pour avoir utilisé les coordonnées des agents publics afin de leur adresser un message sur le projet de réforme des retraites.

Les priorités de contrôle en 2024

Enfin, la Cnil a procédé en 2023 à 340 contrôles sur pièce ou sur place, leur nature précise n'ayant pas été communiquée. Ces contrôles font suite à des plaintes, des signalements de violations de données ou sont en lien avec l’actualité. Pour 2024, la Commission a défini quatre thématiques. Elle s'intéressera ainsi aux aspects sécuritaires des jeux olympiques et paralympiques et notamment au déploiement de caméras augmentées (voir notre article du 30 août 2023). Elle souhaite aussi vérifier si les sites et plateformes ciblant les enfants ou adolescents respectent bien le principe de minimisation de collecte de données personnelles prévu par le RGPD. Elle se penchera enfin sur la dématérialisation du ticket de caisse et les conditions de l'exercice du droit d'accès aux données à l'échelle européenne.

 

Abonnez-vous à Localtis !

Recevez le détail de notre édition quotidienne ou notre synthèse hebdomadaire sur l’actualité des politiques publiques. Merci de confirmer votre abonnement dans le mail que vous recevrez suite à votre inscription.

Découvrir Localtis