A l’occasion de la publication de son rapport annuel 2023, la Cnil monte que le nombre de plaintes reçues a fortement augmenté. La Cnil insiste également sur le rôle qu’elle souhaite absolument jouer dès maintenant dans la régulation de l’IA sans attendre 2026.
Augmentation de 35% du nombre de plaintes
La Cnil a traité 16 433 plaintes en 2023. C’est + 35 % par rapport à 2022 et, pour la deuxième année consécutive, elle a instruit autant de plaintes qu’elle en a reçues. Au final, la Cnil a infligé 42 sanctions dont 36 amendes pour un montant total cumulé de 89 millions d’euros. Il faut souligner que Criteo et Amazon à eux seuls sont sanctionnés à hauteur de 72 millions d’euros. La Cnil a effectué 340 contrôles. Près des deux tiers (57%) des contrôles ont été déclenchés à la suite d’une plainte ou d’un signalement. Seulement 14% des sanctions ont été rendues publiques.
Des sanctions aussi bien contre de petites entreprises que contre des multinationales, dans le secteur privé et le secteur public
Le principal manquement retenu dans le cadre de la procédure simplifiée est le défaut de coopération avec la Cnil. Cela a concerné 15 acteurs publics et privés sanctionnés pour n’avoir pas répondu aux sollicitations de la Cnil. Le manquement relatif à la sécurité des données personnelles a été retenu à l’encontre de 7 organismes qui n’avaient pas mis en œuvre toutes les mesures nécessaires pour assurer la sécurité des données. Ainsi, la Cnil a sanctionné l’utilisation d’un protocole http, le manque de robustesse des mots de passe ou encore leur stockage en clair. D’autre part, plusieurs décisions ont porté sur la géolocalisation des véhicules et la vidéosurveillance des salariés. En outre, la Cnil a sanctionné 8 organismes pour ne pas avoir fait droit à des demandes d’opposition et d’accès aux données.
Certaines demandes ne sont pas traitées
La Cnil prévient toutefois que certaines demandes ne sont pas traitées lorsqu’elle reçoit des plaintes car la personne n’apporte pas d’éléments permettant d’engager des actions. Par exemple, les faits sont trop imprécis et ne révèlent pas de violation de la protection des données, ou il n’y a pas eu de demande d’exercice des droits auprès du responsable de traitement au préalable, etc. En 2023, 4400 demandes ont ainsi été rejetées par la Cnil.
La gestion du consentement est peu mise en cause lors de la navigation web. En 2023, la Cnil n’a reçu que 1400 plaintes concernant le dépôt de cookies ou de traceurs sur les terminaux (PC, smartphones) des internautes lors de leurs visites de sites web. Les principales problématiques signalées tiennent au dépôt de ces traceurs sans que les internautes en soient valablement informés ou sans le recueil préalable de leur consentement (absence d’option de refus au premier niveau). Comparativement, la Cnil a reçu plus de 1 000 plaintes concernant la mise en œuvre de dispositifs de vidéo protection ou de vidéo surveillance sans une information correcte des personnes ou respect de leur vie privée.
La Cnil défend son rôle économique
La Cnil met désormais en avant son impact économique. « En cinq ans, la Cnil s’est affirmée comme le régulateur technologique et économique de la donnée personnelle » affirme Marie Laure Denis, Présidente de la Cnil qui a été reconduite à son poste récemment. « La Cnil a évolué pour intégrer les dimensions technologique et économique dans son rôle de régulateur. Son efficacité dépend désormais de sa capacité à interagir avec une multitude d’acteurs français et européens » ajoute-t-elle.
La Cnil répond chaque jour à des centaines de sollicitations, souvent complexes, par une grande variété de publics
En 2023, la Cnil a ouvert un téléservice dédié à ces demandes d’exercice des droits indirects dont l’usage a dès lors explosé. En 2023, le fichier des comptes bancaires et assimilés (FICOBA) a été le fichier le plus sollicité (91%) dans le cadre de l’exercice des droits indirects. Viennent ensuite divers fichiers directement liés à la conduite d’enquêtes administratives dans le cadre de recrutements à certaines fonctions sensibles.
Une Autorité indépendante qui emploie 288 agents
Afin de mener ses tâches à bien, la Cnil dispose d’un budget de 26,3 millions d’euros et emploie 288 agents. Côté entreprises, on relève que 34 250 DPO (Data Protection Officer) ont été désignés pour environ 96 000 organisations. Il y a eu 4 668 notifications de violations de données de la part d’entreprises,, ce qui est une augmentation de +14% par rapport à 2022.
La Cnil estime qu’elle sera incontournable dans la régulation de l’IA et des algorithmes
La Cnil défend sa légitimité sur ce sujet de l’IA en parlant de son expérience dans la régulation du numérique, y compris dans sa dimension éthique. La Cnil insiste sur le fait qu’il faut apporter des réponses qui ne peuvent attendre 2026 et l’entrée en vigueur de la totalité du règlement IA.
La place de la Cnil face à la multiplication des régulateurs
La Cnil s’appuie notamment sur des fiches pratiques conçues après une consultation publique, visant à clarifier les conditions d’application du RGPD à la phase de développement des systèmes d’IA. Un nouveau lot de fiches sur l’exercice des droits et la sécurité sera publié en 2024.
La Cnil s’inquiète de sa place dans un paysage où l’on observe la multiplication des régulateurs de l’espace numérique dessiné par le projet de loi visant à sécuriser et réguler l’espace numérique (SREN).
