Augmentation record des plaintes à la CNIL en 2023

En 2023, 16 433 plaintes ont été transmises à la Commission nationale de l’informatique et des libertés (CNIL), un record. L’autorité administrative indépendante dont la mission est de protéger les données personnelles et de préserver les libertés individuelles a publié ce 23 avril son rapport d’activité annuel.

Amazon, Criteo ou le ministère de la Fonction publique parmi les organisations sanctionnées par la CNIL

« Chaque jour, la CNIL répond à des centaines de sollicitations », témoigne Marie-Laure Denis, présidente de l’autorité, pour la dernière année de son premier mandat. En plus du nombre de plaintes en hausse de 35 % par rapport à l’année précédente, la présidente dont le second mandat a été entériné fin janvier rapporte une explosion des demandes de vérification, rectification, suppression d’informations personnelles détenues par des organisations diverses.

Avec 20 810 demandes en ce sens, les saisines ont augmenté de 217 %. Pour Marie-Laure Denis cela atteste « d’un intérêt croissant du public pour les enjeux « informatiques et liberté », comme le confirment également les presque 12 millions de visiteurs ayant consulté le site de la CNIL en 2023 ». En découle cependant un accroissement des délais de réponses sur lequel l’autorité affirme travailler.

Elle a procédé au cours de l’année passée à 340 contrôles, 168 mises en demeure et 42 sanctions. 89 179 500 euros d’amendes ont été dressés. Sur ce point, la présidente annonce vouloir « poursuivre la politique initiée en matière répressive depuis cinq ans [ndlr : entrée en vigueur du RGPD], c’est-à-dire privilégier la mise en conformité à la mesure punitive ».

Les deux plus importantes concernent Amazon France Logistique, 32 millions d’euros pour la surveillance des salariés et Criteo avec 40 millions d’euros d’amende pour plusieurs manquements dont l’absence de preuve du consentement, non-respect du droit d’effacement des données ou de transparence.

« Nous sommes en profond désaccord avec les conclusions de la CNIL qui sont factuellement incorrectes et nous avons fait appel de cette décision devant le Conseil d’État. L’utilisation de systèmes de gestion d’entrepôt est une pratique courante du secteur : ils sont nécessaires pour garantir la sécurité, la qualité et l’efficacité des opérations et pour assurer le suivi des stocks et le traitement des colis dans les délais et conformément aux attentes des clients, » commente un porte-parole d’Amazon.

À noter le rappel à l’ordre du ministère de la Transformation et de la Fonction publique en novembre à la suite de 1 600 plaintes. Au début de l’année, Stanislas Guerini avait adressé un message vidéo à l’ensemble des agents de la fonction publique pour défendre la très contestée réforme des retraites. Un message reconnu comme de la communication politique.

Une réforme à venir sur la gestion des procédures européennes liées au RGPD ?

La CNIL rappelle également avoir « activement participé à 2 procédures de règlement des litiges » au niveau du Comité européen de la protection des données (EDPB en anglais), impliquant Meta et TikTok. En cas de manquement au niveau du continent, c’est l’autorité où est basé le siège social européen de l’entreprise qui est chargé des procédures. Pour beaucoup d’entreprises du numérique, il s’agit de la CNIL irlandaise où la fiscalité attractive attire.

L’autorité française ne le mentionne pas directement, mais son homologue irlandaise est critiquée pour la lenteur de son action. Ces décisions sont aussi parfois contestées par les autres CNIL concernés, c’est alors à l’EDPB de trancher. Il est possible de deviner cette problématique, « la pratique a montré que l’absence d’harmonisation entre les procédures administratives nationales gênait la pleine effectivité du RGPD », mentionne évasivement le rapport. Il est rappelé que la Commission européenne planche sur une nouvelle législation pour « rationaliser la coopération entre ces autorités dans les situations transfrontalières et faciliter le consensus dès les premières étapes du processus ».