À l’image des enjeux grandissants soulevés par le numérique, la Cnil, en plus de 45 ans d’existence, n’a cessé d’accroître son activité et ses actions. Depuis cinq ans, « la politique initiée en matière répressive »  par le gendarme du numérique « privilégie la mise en conformité à la mesure punitive ». 

Ainsi, dans son bilan de 2023 publié récemment, la CNIL constate « un accroissement du nombre de mesures adoptées »  avec 42 sanctions prononcées, « pour un montant de près de 90 millions d’euros ». « 168 mises en demeure et 33 rappels aux obligations légales ont également été notifiés ».

Démarchage publicitaire, RGPD, défaut de coopération 

Dans son bilan, la CNIL constate « une diversification des thématiques et des acteurs sanctionnés ». 42 sanctions ont été prononcées par la CNIL, pour un montant de plus de 89 millions d'euros dont 18 sanctions adoptées par la formation restreinte de la CNIL, « l’organe de la CNIL en charge de prononcer les sanctions, et 24 par son président seul, dans le cadre de la procédure de sanction simplifiée mise en place en 2022 ».

Du côté des sanctions prononcées par la formation restreinte, ces sanctions ont aussi bien été prononcées contre de grandes entreprises que contre des petites collectivités par exemple. Concernant les thématiques, « la CNIL a rappelé dans plusieurs sanctions d’ampleur le principe selon lequel le démarchage publicitaire, qu’il prenne la forme d’un message électronique ou bien celle d’une publicité ciblée sur un site web, ne peut se faire que lorsque la personne concernée a préalablement donné son consentement ». Autre thématique récurrente : la CNIL a notamment « sanctionné des traitements de données mis en œuvre par des employeurs en méconnaissance du droit au respect de la vie privée des salariés ».

Dans le cadre de la procédure simplifiée, « le défaut de coopération avec la CNIL (…) a concerné 15 organismes (acteurs publics et privés) sanctionnés pour n’avoir pas répondu à ses sollicitations ». Pour rappel, « lorsqu’un manquement au RGPD ou à la loi Informatique et Libertés est constaté, une procédure de sanction simplifiée peut être engagée à l’encontre d’un organisme si l'affaire ne présente pas de difficulté particulière ». 

Le manquement relatif à la sécurité des données personnelles a aussi été retenu « à l’encontre de 7 organismes qui n’avaient pas mis en œuvre toutes les mesures nécessaires pour assurer la sécurité des données, comme l’utilisation d’un protocole http, qui ne permet pas le chiffrement des données entre le client et le serveur, ou encore le manque de robustesse des mots de passe ou leur stockage en clair ». Une sanction sur trois comporte un manquement à la sécurité des données.

Des communes mises en demeure 

Le recours à la mise en demeure – « efficace pour obtenir la mise en conformité des organismes, selon la CNIL »  – augmente depuis 2021, jusqu’à atteindre le chiffre record de 168 mises en demeure pour la seule année 2023. À titre de comparaison, en 2020, avant la mise en place de la procédure de sanction simplifiée, 49 mises en demeure ont été adoptées. 

« Ces mises en demeure ont également concerné des secteurs et des problématiques variés, qui recoupent celles abordées dans le cadre des procédures de sanctions telles que l’exercice des droits, le défaut de coopération avec la CNIL et la géolocalisation des véhicules », peut-on lire dans le bilan. 

Deux thématiques spécifiques qui concernent largement les communes ont été identifiées. D’abord, « des mises en demeures ont été adoptées à l’encontre de 39 communes qui avaient mis en place des lecteurs automatisés de plaques d’immatriculation (dispositif « LAPI » ) pour des finalités de police administrative et judiciaire (par exemple, des infractions au Code de la route) ». 

En effet, certaines municipalités « font équiper, par un prestataire, les véhicules de police municipale de caméras dotées d’un dispositif de lecture automatisée des plaques d’immatriculation (LAPI) pour permettre la collecte automatique de données concernant les véhicules en infraction ». Cependant, « la collecte et le traitement de photographies des véhicules, notamment en vue rapprochée de la plaque d’immatriculation, pour l’exercice du pouvoir de police judiciaire par les communes (en lien avec les contraventions prévues au Code de la route) ne sont pas autorisés en l’état actuel de la règlementation. Le recours au dispositif LAPI, qui collecte systématiquement une photographie du véhicule, n’est donc pas possible pour la recherche d’infractions par les communes en l’absence d’une modification de cet arrêté. La CNIL a relevé que seuls les services de police nationale ou de gendarmerie – et non les communes – pouvaient mettre en œuvre de tels dispositifs ».  

Enfin, l’autre thématique qui, sans surprise, se démarque est celle de la cybersécurité. « Une série de contrôles en lien avec la sécurité des sites web a principalement porté sur des sites web d’organismes publics particulièrement visités par les internautes français (par exemples, ceux des régions, communes ou communautés de communes) », est-il indiqué dans le bilan. « À l’issue de ces contrôles, 39 mises en demeure ont été adressées à des organismes qui n’avaient pas mis en place le protocole de communication sécurisé HTTPS sur leur site web ».

Suivez Maire info sur Twitter : @Maireinfo2