CNIL : 90 millions d’euros d’amendes cumulées en 2023

La CNIL (Commission Nationale Informatique et Liberté) a plusieurs rôles mais celui qui est le plus visible est, bien sûr, le volet répressif de son action. Avec le RGPD, les sanctions financières contre les manquements en matière de protection des données personnelles peuvent atteindre 4 % du chiffre d’affaires mondial. Mais infliger des amendes n’est pas la seule possibilité : dans un premier temps, la CNIL peut adresser des mises en demeures, le cas échéant sous astreinte. Enfin, la CNIL peut décider de rendre publique une sanction. La mauvaise publicité induite pour l’entreprise concernée accroît bien sûr le poids de la sanction. La CNIL vient de publier le bilan de son action répressive en 2023.

Ainsi, en cumulé, les amendes infligées par l’autorité administrative indépendante ont atteint, en 2023, 90 millions d’euros pour 42 sanctions prononcées. Par ailleurs, 168 mises en demeure et 33 rappels aux obligations légales ont également été notifiés. Enfin, deux liquidations d’astreintes ont été prononcées à l’encontre d’entreprises n’ayant pas respecté les mises en demeure de la CNIL. Celle-ci indique également que six des sanctions prononcées l’ont été dans le cadre de la procédure dite « du guichet unique » dans une enquête commune à plusieurs autorités nationales européennes en charge de la protection des données personnelles. En dehors du nombre indiqué, la CNIL a elle-même participé à cinq procédures concernant des organisation ou des personnes françaises menées par une autorité européenne. 14 sanctions sur les 42 ont été rendues publiques.

Dans les grandes thématiques de sanctions, on retrouve la publicité ciblée abusive, la cybersurveillance des salariés excessive et le défaut de coopération avec la CNIL (le refus de répondre aux questions). Une sanction sur trois est relative à un défaut de cybersécurité des données personnelles.

En savoir plus

- Bilan 2023 de l’action répressive de la CNIL.