La protection des données personnelles est aujourd’hui au cœur des préoccupations des entreprises, grandes et petites. En effet, les sanctions imposées par la CNIL pour non-conformité peuvent être lourdes de conséquences, qu’elles soient financières (jusqu’à 4% du CA !) ou réputationnelles.

Ce bilan de l’action menée en 2023 par la CNIL met en lumière l’importance croissante de la conformité au RGPD. Nous examinerons attentivement les actions entreprises par la CNIL au cours de cette période, notamment en ce qui concerne les plaintes traitées et les contrôles réalisés. Nous nous pencherons également sur les principales thématiques ayant fait l’objet de sanctions, ainsi que sur les tendances en matière de contrôle pour l’année à venir.

Bilan de l’action en 2023 : 

Comme chaque année, la CNIL dresse le bilan de ses actions lors de l’année précédente. On analyse ensemble ce bilan : 

Plaintes et contrôles réalisés

La CNIL dresse le bilan de son action répressive. 2023 est une nouvelle année record pour la CNIL, avec près de 16 000 plaintes instruites.

Le saviez-vous ? La CNIL traite 100% des plaintes qui lui sont adressées. Ces plaintes sont souvent à l’origine de contrôles, menant à des sanctions. Pour en savoir plus, découvrez notre article sur le sujet : Plaintes CNIL : 100% des plaintes sont traitées ! Comprendre l’impact des vérifications systématiques. 

En 2023, près de 340 contrôles ont été réalisés.  Ces contrôles sont souvent déclenchés suite à des plaintes, des signalements de violations de données ou en lien avec l’actualité.

En 2022, 37% de ces contrôles furent réalisés en ligne : dans ce cas, la CNIL consulte le site internet des entreprises concernées. 

La conformité de votre site web est essentielle. À ce sujet, cet article pourrait vous intéresser : Pourquoi la conformité de votre site web est fondamentale ?

⅓ des sanctions prononcées soulignaient d’importantes lacunes en matière de sécurité des données. 

Ce sujet vous intéresse ? Découvrez notre article spécifique à ce sujet : Les cyberattaques fréquentes des TPE et PME : Comment s’en protéger ?

Thématiques principalement sanctionnées

Publicité et le commerce en ligne, la sécurité des données, la géolocalisation des véhicules, les droits des salariés ainsi que le traitement des données de santé : un large éventail de thématiques a été concerné par les décisions de sanction de la CNIL. Ces décisions ont touché des acteurs de différentes tailles et provenant de secteurs diversifiés. En effet, les sanctions ont été appliquées aussi bien à l’égard de petites entreprises, telles que des cabinets de médecins, que de multinationales, et ont affecté à la fois le secteur privé et le secteur public.

La procédure de sanction simplifiée de plus en plus utilisée

La procédure de sanction simplifiée de la CNIL est une méthode plus rapide et plus simple pour traiter les petites infractions aux règles de protection des données. Elle permet à la CNIL d’appliquer des sanctions plus rapidement pour des problèmes moins graves, comme des erreurs mineures dans la gestion des données. Cela permet à la CNIL d’être plus réactive tout en assurant une application juste des règles de protection des données.

Cette année, la formation restreinte de la CNIL (chargée de la procédure de sanction simplifiée) est à l’origine de plus de la moitié des sanctions prononcées. Une statistique alarmante, surtout lorsque l’on s’intéresse à la liste des organismes concernés par ces sanctions : principalement des TPE/PME ! Le montant de ces amendes s’élève à  229 500€ ! 

Thématiques de contrôle pour 2024 

La CNIL oriente ses contrôles vers des thématiques prioritaires chaque année. En 2024, ces thématiques englobent un large spectre de sujets, allant de la collecte de données lors des Jeux Olympiques et Paralympiques à la protection des mineurs en ligne, en passant par les programmes de fidélité et la dématérialisation des tickets de caisse dans la grande distribution.

Les Jeux Olympiques et Paralympiques de 2024 représentent un événement d’envergure internationale, attirant des millions de spectateurs et d’athlètes en France. La CNIL se penchera donc sur la collecte de données opérée dans le cadre de cet événement, en veillant à ce que les dispositifs de sécurité soient à la hauteur des enjeux, tout en garantissant le respect de la vie privée des individus.

La collecte de données en ligne sur les mineurs est également un point d’attention crucial. Avec l’essor des réseaux sociaux, des sites de rencontre et des plateformes de jeux en ligne, la CNIL s’assurera que les mesures de sécurité et de protection de la vie privée des jeunes utilisateurs sont adéquates.

Quant aux programmes de fidélité et à la dématérialisation des tickets de caisse, ils soulèvent des questions quant à la collecte et à l’utilisation des données personnelles des consommateurs. La CNIL veillera à ce que les entreprises respectent le consentement des individus avant toute utilisation de leurs données à des fins de marketing ou de ciblage publicitaire.

Enfin, dans le cadre d’une action coordonnée avec d’autres autorités de contrôle européennes, la CNIL procédera à des vérifications sur les conditions de mise en œuvre du droit d’accès des personnes concernées. Cette initiative vise à garantir une application cohérente du RGPD à travers l’Europe, assurant ainsi une meilleure protection des données personnelles des citoyens.

En conclusion, la conformité au RGPD est un impératif pour toutes les entreprises, quel que soit leur taille. En s’assurant de respecter les règles en matière de protection des données personnelles, les dirigeants de TPE/PME peuvent non seulement éviter des sanctions financières importantes, mais aussi renforcer la confiance de leurs clients et partenaires commerciaux.