Bilan 2021 de l’action répressive de la CNIL en matière de protection des données

Actualité
RH RGPD

À l’occasion de la journée de la protection des données, la CNIL a fait le bilan de son action répressive.

Bilan 2021 de l’action répressive de la CNIL en matière de protection des données
Publié le
Télécharger en PDF

Cet article a été publié il y a 2 ans, il est donc possible qu'il ne soit plus à jour.

2021 est une année sans précédent, tant par le nombre de mesures adoptées (18 sanctions et 135 mises en demeure) que par le montant cumulé des amendes, qui atteint plus de 214 millions d’euros.

18 sanctions visant des secteurs d’activités variés

En 2021, la formation restreinte de la CNIL a prononcé 18 sanctionspour un montant de 214 106 000 euros. 12 d’entre elles ont été rendues publiques.

Ces sanctions comportent 15 amendes (dont 5 avec injonctions sous astreinte) et 2 rappels à l’ordre, avec injonctions.

 Pour la première fois, une décision de liquidation d’astreinte (c’est-à-dire le paiement d’une somme en raison du non-respect d’un ordre donné par la CNIL) a été prononcée. En pratique, la société concernée, initialement sanctionnée d’une amende de 7 300 euros a dû payer 65 000 euros supplémentaires car elle n’avait pas procédé aux modifications de son traitement demandées dans la décision de sanction.

Cette année, les décisions ont concerné des secteurs d’activité et des acteurs très divers.

Parmi les manquements les plus fréquents figurent le défaut d’information des personnes et des durées de conservation excessives.  

Sur ces 18 sanctions, la moitié comporte un manquement en lien avec la sécurité des données personnelles, ce qui illustre deux choses :

  • les mesures de sécurité prises par les organismes restent souvent insuffisantes ;
  • la CNIL vérifie systématiquement la sécurité des systèmes d’information lorsqu’elle effectue un contrôle.

Enfin, 4 sanctions concernent une mauvaise gestion des cookies et autres traceurs.

Quatre décisions de la CNIL ont été adoptées en coopération avec les homologues européens dans le cadre du guichet unique prévu par le RGPD. En parallèle, toujours dans le guichet unique, la CNIL a examiné 17 projets de décision d’homologues européens relatifs à des traitements concernant des français.

135 mises en demeure et de nombreuses mises en conformité

Un nombre record de mises en demeure (décision de la présidente de la CNIL ordonnant à un organisme de se mettre en conformité dans un délai maximum de 6 mois) a également été atteint en 2021, avec 135 décisions prononcées, dont 2 rendues publiques (à l’encontre de Clearview et de Francetest) et 3 adoptées dans le cadre de la coopération européenne.

Cela représente une augmentation très conséquente du nombre de mises en demeure par rapport aux années précédentes.

Une part importante de ces mises en demeure a porté sur la thématique prioritaire des cookies : 89 décisions comportent un manquement en lien avec l’utilisation des traceurs (dont 84 sont pleinement consacrées à cette question).

En parallèle, la CNIL a clos 123 dossiers (procédures de sanction et de mise en demeure) à l’issue, notamment, de l’examen des actions prises par les organismes pour se mettre en conformité. 

Référence

Communiqué de la CNIL du 28 janvier 2022.