Bilan de la CNIL pour 2022 et perspectives
La CNIL a publié le 31 janvier 2023 son bilan annuel d’activité pour 2022. Ce dernier confirme la hausse des sanctions prononcées par l’autorité, laquelle exige des opérateurs une responsabilité grandissante dans la gestion des données personnelles et le respect du Règlement Général sur la Protection des Données (« RGPD »).
Que retenir de ce bilan ?
En 2022, 21 sanctions ont été prononcées pour un montant total de 101.277.900 euros. Les manquements les plus fréquents ont porté sur le défaut d’information des personnes, le non-respect de leurs droits ainsi que le défaut de coopération avec la CNIL. Un tiers de ces sanctions portaient sur la sécurité des données personnelles, 4 sur la mauvaise gestion des cookies tandis que 3 sanctions étaient en lien avec la prospection commerciale.
La hausse de l’activité de la CNIL s’est aussi traduite par l’augmentation de ses mises en demeure. Celles-ci ont principalement porté sur l’obligation de désignation d’un délégué à la protection des données, la prospection commerciale, la transmission de données à des partenaires commerciaux et le transfert de données vers les USA (à travers Google Analytics notamment).
Au niveau européen, depuis l’entrée en application du RGPD, les amendes prononcées dépassent les 2,5 milliards d’euros. Sur cette même période, la CNIL a prononcé des amendes pour un montant cumulé d’environ 500 millions d’euros. Ces amendes ont principalement concerné les GAFAM. Ont particulièrement été dans le viseur de l’autorité les transferts de données hors UE.
Quelles perspectives à la suite de l’interdiction de Google Analytics ?
C’est ainsi que la CNIL a interdit début 2022 l’utilisation de Google Analytics, en raison de l’absence de sécurité des transferts de données vers les Etats-Unis, et mis en demeure des opérateurs de cesser son utilisation. Le gouvernement américain a adopté le 7 octobre 2022 un nouveau cadre juridique pour renforcer les garanties concernant la collecte et l’utilisation des données transférées aux Etats-Unis.
Avant l’adoption d’une réponse définitive, la Commission européenne a soumis le projet pour avis au CEPD (« Comité européen de la protection des données »), organe qui regroupe l’ensemble des autorités de protection des données au niveau européen. Le 28 février dernier, il a publié son avis et fait part de préoccupations sur un certain nombre de
sujets (absence de définitions clés, manque de clarté quant à l’application des principes aux sous-traitants, exemption générale au droit d’accès pour les informations accessibles au public, absence de règles spécifiques sur la prise de décision automatisée et le profilage).
Aucun accord n’a donc encore été trouvé entre les Etats-Unis et l’Europe sur ce sujet d’importance. Affaire à suivre !