En 2023, la CNIL a continué sa mission de contrôles et de sanctions. Elle a organisé son action répressive autour de deux objectifs complémentaires : apporter des réponses rapides aux nombreuses plaintes et contrôler des traitements à forts enjeux pour le public.
En 2023, la CNIL a procédé à 340 contrôles :
- 57% de ces contrôles ont eu lieu suite à des plaintes et signalements
- 6% ont eu lieu suites à des mises en demeure
- 37% ont eu lieu car ils font partis des thématiques prioritaires de 2023
Les thématiques prioritaires de 2023 portaient sur:
- Les caméras augmentées et la lecteur automatisée de plaques d’immatriculation (LAPI): Des mises en demeures ont été adoptées à l’encontre de 39 communes qui avaient mis en place des lecteurs automatisés de plaques d’immatriculation (dispositif « LAPI ») pour des finalités de police administrative et judiciaire.
- Le traçage des utilisateurs sur les applications mobiles: De nombreuses plaintes ont été reçues concernant le suivi publicitaire sans recueil préalable de consentement. Les éditeurs des applications mobiles contrôlées recourent systématiquement au suivi publicitaire de leurs utilisateurs, souvent sans recueillir le consentement de ces derniers ou sans le recueillir valablement.
- Le dossier patient informatisé (DPI): Des plaintes ont été reçues concernant des accès par des tiers non autorisés à des DPI au sein d’établissements de santé. les mesures de sécurité informatique et la politique de gestion des habilitations étaient parfois inadaptées, en permettant notamment à des professionnels de santé ne participant pas à la prise en charge du patient d’accéder à des informations relatives à ce dernier.
La CNIL a prononcé 42 sanctions pour un montant de 89 179 500 euros, dont 14 ont été rendues publiques.
Ces sanctions comportent 36 amendes (dont 14 avec injonctions sous astreinte), 2 décisions de liquidation d’astreinte (c’est-à-dire le paiement d’une somme en raison du non-respect d’un ordre donné par la CNIL dans sa décision de sanction) ainsi que 4 rappels à l’ordre.
Parmi les principales sanctions prononcées en 2023 se trouve la société CRITEO, qui a écopé d’une amende de 40 millions d’euros pour:
- Absence de preuve du consentement :
La société n’avait pas mis en place de mesures lui permettant de s’assurer que ses partenaires recueillaient valablement le consentement des internautes dont elle traite ensuite les données. - Manquement au droit d’accès :
Lorsqu’une personne exerçait son droit d’accès auprès de CRITEO, la société lui transmettait des données incomplètes. - Manquement au respect du droit de retrait du consentement et de l’effacement des données :
le processus mis en œuvre par la société pour l’exercice de ce droit avait seulement pour effet d’arrêter l’affichage de publicités personnalisées à l’utilisateur (sans suppression de l’identifiant ni à l’effacement des évènements de navigation). - Manquement à l’obligation d’information et de transparence :
la politique de confidentialité de la société n’était pas complète puisqu’elle ne comportait pas l’ensemble des finalités poursuivies par le traitement. Par ailleurs, certaines des finalités étaient exprimées dans des termes vagues et larges. - Manquement à l’obligation de prévoir un accord entre responsables conjoints de traitement conforme au RGPD :
L’accord conclu par la société avec ses partenaires ne précisait pas certaines des obligations respectives des responsables de traitements.
Amazon France Logistique a été sanctionné à hauteur de 32 millions d’euros :
Chaque salarié d’Amazon France Logistique est muni d’un scanner au moyen duquel il documente en temps réel l’exécution de certaines tâches (prélèvement d’un article dans les rayonnages, emballage…). Or, plusieurs indicateurs remontés par les scanners conduisaient à une surveillance informatique excessive des salariés. La formation restreinte a retenu des manquements au principe de minimisation des données, en considérant que la conservation de toutes les données recueillies par les scanners ainsi que des indicateurs en découlant, pour tous les salariés et intérimaires, était excessive.
Enfin, la société CITYSCOOT a été sanctionné à hauteur de 125 000 euros :
La société CITYSCOOT propose la location de scooters pour des périodes courtes. Cependant, la CNIL a critiqué sa pratique consistant à géolocaliser ses clients presque en permanence, toutes les 30 secondes, et à conserver l’historique de leurs déplacements. Ces données n’étaient pas justifiées par les objectifs avancés par la société, tels que le traitement des infractions au code de la route ou le support en cas d’urgence. Cette pratique intrusive dans la vie privée des utilisateurs aurait pu être évitée sans compromettre le service offert. La CNIL a rappelé le principe de minimisation des données, soulignant que celles-ci doivent être pertinentes et non excessives par rapport à leur objectif.
L’ensemble de ces sanctions rappellent donc l’importance de la nécessité à la mise en conformité au RGPD pour les entreprises. Si vous avez besoin de conseils, n’hésitez pas à consulter notre page concernant la mise en conformité RGPD.
Pour de plus amples informations concernant les sanctions prononcées par la CNIL, n’hésitez pas à consulter le rapport annuel 2023 de la CNIL.