La CNIL s’affirme en tant qu’autorité de sanction

Comme nous avons pu le voir tout au long de l’année 2021, la CNIL a usé de ses pouvoirs répressifs afin de sanctionner massivement les organismes non respectueux des règles en matière de protection des données à caractère personnel.  Afin de poursuivre en ce sens du 2022, la récente loi n°2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure est venue lui accorder de nouveaux pouvoirs de sanctions.

Lors de la journée consacrée à la protection des données, la CNIL a pu faire le bilan de ses sanctions sur l’année 2021. Le bilan chiffré :

• 18 sanctions pour un montant de 214 106 000 euros dont 12 ont été rendues publiques: ces sanctions comportaient 15 amendes et 2 rappels à l’ordre avec injonction. Il est à précisé que la moitié des sanctions portaient sur la sécurité des données 

• 135 mises en demeure et de nombreuses mises en conformité dont 2 ont été rendues publiques : la plupart de celles-ci portaient sur l’un des axes prioritaires la CNIL qui n’est autre que la gestion des cookies

• 123 dossiers clôturés : suite à la mise en œuvre par les organismes des actions correctives afin de se mettre en conformité

En ce début d’année 2022, la CNIL semble bien partie pour poursuivre massivement son action répressive. Cela a été notamment le cas de l’association NOYB pour l’utilisation de Google Analytics.

En effet, la Commission l’a mis en demeure de cesser d’utiliser l’outil de mesure d’audiences « Google Analytics » au motif que les transferts opérés par Google Analytics aux Etats-Unis sont illégaux. Cette mise en demeure sonne donc comme une mise en garde : les responsables de traitement doivent être vigilants quant aux outils utilisés sur leur site internet afin de s’assurer qu’ils n’utilisent pas Google Analytics sous peine de se voir sanctionner par la CNIL.

La CNIL est en cours de rédaction de nouvelles recommandations afin de guider les gestionnaires de site internet vers des outils conformes. Néanmoins, les solutions Analytics Suite Delta de AT Internet – dans sa version disponible à la date du 30 mars 2021, et Matomo Analytics de Matomo – dans sa version 4, nous ont été indiqué par la Commission comme étant des alternatives conformes.

Au travers de la loi n°2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure, la CNIL s’est vu accorder un nouveau pouvoir de sanction dit simplifié.

Plus précisément, c’est son article 33 qui vient encadrer cette nouvelle procédure en modifiant les articles 10 et 20 et en créant un tout nouvel article 22-1 dans la Loi Informatiques et libertés.

Ce nouveau pouvoir reposerait en principe sur la possibilité pour la présidente de la CNIL de mettre à la charte du président de la formation restreinte ou de l’un de ses membres désigné les dossiers considérés comme étant à faible gravité.

Le président ou le membre désigné de la formation restreinte pourrait alors statuer seul aux fins de prendre trois types de mesures :

• Un rappel à l’ordre
• Une amende administrative pour un montant de 20 000 euros
• Une injonction sous astreinte pour un montant maximum de 100 euros par jour

Une telle procédure simplifiée nécessite néanmoins deux critères cumulatifs :

• Les mesures prévues doivent constituer ‘ la réponse appropriée à la gravité des manquements constatés ‘
• Le dossier ne doit présenter de difficulté particulière ‘ eu égard à l’existence d’une jurisprudence établie, des décisions précédemment rendues par la formation restreinte de la commission ou de la simplicité des questions de fait et de droit qu’elle présente à trancher ‘