CNIL : de nombreuses amendes en 2023, les contrôles prévus en 2024

Le rapport de la CNIL sur l'année 2023 révèle une augmentation par deux des sanctions, une amélioration de la procédure accélérée et quelques affaires avec ses homologues européens.

Publié le 
1/3/2024
CNIL : de nombreuses amendes en 2023, les contrôles prévus en 2024
 

Avec l'émergence de l'IA, la présence constante du numérique dans nos vies et l'arrivée des Jeux Olympiques en France, 2024 risque d'être une année bien chargée.

I – Quel bilan pour la CNIL en 2023 ?

A) Un nombre de sanction doublé en un an

Le montant total des amendes collectées par la Cnil en 2023 s'élève à 89,2 millions d’euros. 42 sanctions ont été rendues (contre 21 en 2022), dont un tiers concerne des violations de la sécurité des informations personnelles. Les multinationales, les petites entreprises, le secteur privé et le secteur public ont tous été touchés. L'autorité a fait face à des problématiques courantes telles que :

  • La publicité et le commerce en ligne,
  • La sécurité,
  • La géolocalisation des véhicules,
  • Le traitement des données de santé.

Ce fut le cas pour :

  • Amazon qui a été sanctionné à hauteur de 32 millions d’euros pour une surveillance excessive de l’activité et des performances des salariés de l’entreprise.
  • La société de fret aérien Saf Logistics, laquelle collectait des données relatives à la vie privée de ses employés en toute illégalité, a été condamnée à une amende de 200 000 euros.
  • La société Doctissimo, qui avait, entre autres, conservé trop longtemps les données personnelles des internautes s’est également vue infliger une amende de 380 000 euros.
  • Critéo, une entreprise spécialisée dans la publicité en ligne, a été condamnée à une amende de 40 millions d'euros pour ne pas avoir démontré qu'elle avait obtenu le consentement des personnes dont elle collectait les informations.
  • Le groupe Canal+ est contraint de payer environ 600 000 euros, soit 0,03% de son chiffre d'affaires en 2022, en raison de violations du RGPD. Parmi les accusations, celle de mener des campagnes de prospection commerciale par courrier électronique sans avoir reçu le consentement éclairé des prospects que ses partenaires lui avaient fournis.

B) L’essor de la procédure de sanction simplifiée

L'année 2023 a marqué le sommet des mises en demeure (168 contre 147 en 2022 et une multiplication par trois depuis 2018). Parmi les destinataires, 39 communes qui avaient instauré des dispositifs de lecteurs automatisés de plaques d'immatriculation, un domaine réservé à la police municipale et à la gendarmerie, ainsi que 39 organismes publics pour non-respect du protocole de communication sécurisé HTTPS sur leur site web.

Dans le cadre de la procédure appelée "guichet unique" du RGPD, la CNIL a collaboré avec ses homologues européens. Deux procédures de règlement des litiges au sein du Comité européen de la protection des données ont été menées par l'autorité française :

  • L’une concerne le réseau social Tik Tok, condamné à 345 millions d'euros en 2023 par la Data Protection Commission (DPC),
  • L’autre concerne le groupe META, condamné à une amende record de 1,2 milliard d'euros par l'homologue irlandais de la CNIL.

II- Les contrôles prévus pour 2024

Chaque année, une partie des contrôles de la CNIL s’inscrit dans le cadre de thématiques prioritaires qu’elle définit. En 2024, elle se concentrera sur 4 thèmes, comme indiqué dans son communiqué du 8 février 2024 :

  • Les fichiers liés aux Jeux Olympiques et Paralympiques,
  • Les données des mineurs,
  • Les tickets de caisse dématérialisés et programmes de fidélité,
  • Le droit d’accès des personnes.

Ces thématiques représentent en moyenne 30 % des contrôles effectués.

A) Collecte de données dans le cadre des Jeux Olympiques et Paralympiques

En France, plusieurs millions de spectateurs et des milliers d'athlètes sont attendus pour cette manifestation internationale de grande envergure. Des mesures de sécurité significatives seront mises en place, ce qui nécessitera une vérification par la CNIL de l’utilisation des données collectées :

Des vérifications concernant la mise en œuvre de codes QR pour les zones à accès restreint, les autorisations d'accès et l'utilisation de caméras augmentées seront effectuées.

La CNIL examinera également l’aspect plus commercial des Jeux Olympiques, en particulier la collecte de données effectuée dans le cadre des services de billetterie. En raison du nombre de personnes impliquées et de partenaires de l'événement qui pourraient recevoir les données, il est essentiel de vérifier les conditions de collecte des informations transmises, les destinataires des données et les mesures de sécurité mises en place.

B) Données des mineurs collectées en ligne

De plus en plus jeunes, les mineurs sont exposés aux réseaux sociaux, aux sites de rencontre ou aux plateformes de jeux en ligne. Ce phénomène peut entraîner une collecte importante de renseignements sur leur identité, leurs préférences ou leurs habitudes de vie et engendrer des conséquences importantes sur leur intimité, leur bien-être psychologique ou leur avenir professionnel.

Au cours de ses enquêtes, la CNIL s'assurera, en particulier, sur les applications et sites les plus populaires pour les enfants et les adolescents :

  • De la mise en place de mécanismes de contrôle de l'âge,
  • De la mise en place de mesures de sécurité,
  • Du respect du principe de minimisation des données.

C) Tickets de caisse dématérialisés et programmes de fidélité

La plupart des grandes surfaces offrent un programme de fidélité qui peut conduire à la collecte de diverses informations sur les consommateurs :

  • Leurs habitudes alimentaires,
  • Leur composition familiale,
  • L’âge des enfants,
  • La présence d'animaux domestiques.

Par la suite, ces informations peuvent être utilisées pour la prospection commerciale ou le ciblage publicitaire. De plus, la mise en ligne des tickets de caisse, résultant de la loi du 10 février 2020 relative à la lutte contre le gaspillage et l'économie circulaire, peut entraîner des traitements supplémentaires de données personnelles afin de permettre, par exemple, l'envoi du ticket par SMS ou par courrier électronique. Ces éléments expliquent pourquoi la CNIL accorde une grande importance à l'information partagée avec les consommateurs et veille à ce que le consentement soit recueilli avant de réutiliser les données à des fins publicitaires.

D) Le droit d’accès des personnes

La CNIL et ses homologues vont effectuer des vérifications sur les conditions de mise en œuvre du droit d'accès dans le cadre de la troisième action du Cadre d'application coordonné (Coordinated Enforcement Framework) du Comité européen pour la protection des données (CEPD).

L'objectif de cette action est d'uniformiser la mise en œuvre concrète du RGPD et la coordination entre les autorités de discipline. Par la suite, les résultats nationaux seront regroupés et examinés, ce qui permettra d'approfondir la compréhension du sujet et de garantir un suivi ciblé à l'échelle nationale et européenne.

Flèche en arrière
Retour vers toutes les actualités

Vous souhaitez bénéficier d'une démonstration de la plateforme Livv ?

Dans vos bureaux ou en visio, nos équipes s'adaptent à vos besoins. Vous pouvez également nous contacter via notre formulaire de contact.

Prendre RDV pour une démo

Les dernières actualités du droit des affaires

Tout voir

Vous souhaitez bénéficier d'une démonstration de la plateforme Livv.eu ?

Dans vos bureaux ou en visio, nos équipes s'adaptent à vos besoins.

Accédez à la connaissance du droit des affaires en quelques clics

Inscrivez-vous gratuitement sur Livv et bénéficiez de notre expertise en droit des affaires.

Essayer gratuitement pendant 15 jours
Élément décoratif accompagnant un texte descriptif Livv.

Inscrivez-vous à la newsletter Livv

et recevez chaque semaine des informations exclusives en droit des affaires