En ce début d’année 2021, prenons un instant pour revenir sur certains chiffres de la CNIL : le nombre de contrôles et de sanctions prononcées par la CNIL depuis ces 5 dernières années, période liée à l’adoption du RGPD.
Contrôles et sanctions de la CNIL : quelles évolutions depuis 2014 ?
La Commission Nationale de l’Informatique et des Libertés peut contrôler les fichiers enregistrant des données personnelles. Ce contrôle peut s’exercer :
- Dans les locaux du responsable de traitement
- Sur convocation dans les locaux de la CNIL
- Sur demande de documents
- En ligne avec un contrôle de site internet, depuis 2014
Ce graphique représente l’évolution de tous les contrôles de la CNIL sur les 5 dernières années. On remarque que l’arrivée du Règlement Général sur la Protection des Données en mai 2018 a entraîné une hausse des contrôles CNIL.
Rappel : le RGPD est le texte de référence concernant la protection des données des citoyens européens.
Depuis son entrée en vigueur, les entreprises traitant des données personnelles doivent impérativement être compliance*, sensibiliser leurs équipes et être accountable**. L’objectif étant d’être conforme au RGPD mais également de maintenir son niveau de conformité sur le long terme.
*Compliance : être en conformité avec le Règlement Général de la Protection des Données.
**L’accountability désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes mesures techniques et organisationnelles permettant de démontrer le que les traitements sont effectués conformément au présent règlement. Cela désigne le respect des règles relatives à la protection des données.
Que retenir de cette analyse ?
- Le nombre de contrôles réalisés par la CNIL est en baisse. En consultant le détail, nous constatons que seulement 2 catégories ont fait l’objet de moins de contrôle qu’auparavant : les contrôles en ligne ou les contrôles liés à la vidéoprotection.
- Le nombre de sanctions pécuniaires*, après une légère baisse, remonte à 10 en 2018, l’année d’entrée en vigueur du RGPD.
- Comme évoqué, le nombre de contrôles est en baisse. Cependant, le nombre de sanctions se maintient, voir remonte. Ce constat est particulièrement intéressant. 2 hypothèses peuvent être la raison de cet état :
- Soit les responsables de traitement contrôlés n’étaient pas (ou moins !) conformes ou moins coopératifs avec la CNIL.
- Soit la CNIL est devenue plus stricte dans ses contrôles.
Les deux explications sont sans doute complémentaires dans la mesure où l’entrée en vigueur du RGPD vient à la fois déstabiliser les responsables de traitement et durcir les règles de contrôle de la CNIL.
Quels types d’organismes peuvent être contrôlés ?
Tous types d’organismes peuvent être contrôlés par la CNIL et peuvent faire l’objet d’une sanction en cas de non-respect du RGPD. En effet, il peut s’agir de grands groupes comme Google, Amazon et Carrefour ou de plus petites entreprises comme une TPE-PME ou des médecins libéraux.
Comment bien anticiper un contrôle CNIL ?
Vous traitez des données à caractère personnel ? Vous devez être conformes RGPD ! La CNIL peut contrôler et sanctionner si vous n’êtes pas conformes.
Exemple de traitement de données à caractère personnel :
- J’ai des salariés, je traite des données à caractère personnel.
- Je travaille en BtoB ou BtoC, je traite des données à caractère personnel.
- Je travaille avec des sous-traitants, je traite des données à caractère personnel.
- J’ai un e-commerce, je traite des données à caractère personnel.
- J’ai un site internet et je suis le trafic via Google Analytics par exemple, je traite des données à caractère personnel.
- …
Nos sources :
- www.data.gouv.fr pour les années les plus anciennes
- Le rapport d’activité de la CNIL pour l’année 2019
- Les sanctions publiées sur le site de la CNIL pour l’année
