En 2023, l’activité contentieuse de la CNIL a été marquée par l’utilisation croissante de sa nouvelle procédure simplifiée et par le renforcement subséquent de sa capacité de sanction. Ce début d’année 2024 donne l’occasion de revenir sur la mise en œuvre par la CNIL de cette procédure simplifiée et de s’intéresser aux principales décisions de sa formation ordinaire.
1. Les sanctions prononcées en 2023 au moyen de la procédure simplifiée
La procédure simplifiée de la CNIL lancée en 2022 permet à la Commission de prendre des sanctions lorsqu’un manquement au Règlement général sur la protection des données (« RGPD ») ou à la loi informatique et libertés est constaté et que l’affaire n’implique pas de difficulté particulière.
L’absence de difficulté particulière est constatée notamment lorsqu’il existe une jurisprudence établie sur le manquement en cause ou bien si ce dernier présente une simplicité dans les questions de fait et de droit qu’il amène à trancher. La procédure est essentiellement écrite et autorise la CNIL à prendre des sanctions dont l’éventail va du rappel à l’ordre jusqu’à l’amende administrative d’un montant maximal de 20 000 euros.
En pratique, la Commission a fait usage de cette procédure simplifiée en rendant 16 décisions pour un montant total de 141 000 euros au cours des 4 derniers mois de l’année 2023.
Les manquements sanctionnés concernaient principalement :
- L’absence de réponse aux demandes de la Commission et plus généralement le défaut de coopération;
- La collecte excessive de données, en méconnaissance du principe de « minimisation des données » (notamment la géolocalisation et la vidéosurveillance des salariés, la collecte de données d’un candidat à l’embauche) ;
- Une information incomplète des personnes concernées quant aux traitements mis en œuvre et leurs finalités ;
- Le défaut dans la suite donnée aux demandes de droits des personnes concernées (notamment pour le droit d’accès et le droit d’opposition) ;
- Le défaut de mesures satisfaisantes garantissant la sécurité des données personnelles.
Outre cette procédure simplifiée, la CNIL a également utilisé sa procédure ordinaire en 2023.
2. Focus sur deux délibérations prononcées par la CNIL en 2023
Il nous semble pertinent de revenir sur deux décisions significatives : la condamnation du groupe Canal+ à une amende de 600 000 euros et la condamnation de la société Criteo à une amende de 40 millions d’euros.
2.1. La condamnation de Canal+
Afin de communiquer avec des clients potentiels, le groupe audiovisuel Canal+ réalisait régulièrement des campagnes de prospection commerciale par voie électronique.
Or, conformément au RGPD et aux recommandations de la CNIL sur la prospection commerciale pour une relation B2C, le consentement de la personne doit être obtenu avant le démarchage commercial.
Toutefois, après analyse, la Commission a constaté que Canal+ n’était pas en mesure de fournir des éléments prouvant que le groupe audiovisuel avait obtenu au préalable le consentement des personnes concernées.
De plus, la CNIL a estimé que Canal+ avait manqué à son obligation d’informer les personnes concernées en fournissant une politique de confidentialité imprécise. En outre, la Commission a relevé les autres manquements suivants : le groupe audiovisuel n’a pas permis un exercice des droits effectif, n’a pas correctement assuré la sécurité des données personnelles et a failli dans son obligation de notification d’une violation de données.
Enfin, la relation avec les sous-traitants de Canal+ n’était pas correctement encadrée. Le contrat de sous-traitance ne comportant pas la totalité des mentions requises par le RGPD.
Pour l’ensemble de ces manquements, la CNIL a condamné Canal+ à une amende de 600 000 euros et a rendu publique sa décision le 19 octobre 2023.
2.2. La condamnation de Criteo
Criteo est une société spécialisée dans le « reciblage publicitaire ». Cette pratique consiste à déposer des cookies sur les terminaux des utilisateurs afin de suivre leur navigation puis de leur proposer des publicités ciblées.
Sur cet aspect, en application du RGPD et sauf exception, un cookie ne peut être déposé sur le terminal d’un internaute qu’avec son consentement préalable. A la suite de son contrôle, la CNIL a constaté que le cookie Criteo avait été déposé sur le terminal des internautes sans leur consentement. Cette pratique a notamment permis à Criteo de constituer une base contenant des données relatives à environ 370 millions d’identifiants à travers l’Union européenne.
En outre, et de manière similaire à Canal+, Criteo a été sanctionné pour manquements à l’obligation d’information (politique de confidentialité incomplète) et à l’exercice des droits des personnes concernées (droit d’accès, effacement des données et retrait du consentement).
Enfin, de manière notable, la Commission a estimé que Criteo n’avait pas conclu d’accord adéquat concernant les obligations entre les responsables conjoints de traitement. C’est pourtant une disposition explicite du RGPD.
En conséquence, pour l’ensemble des manquements précités et compte tenu du très grand nombre de personnes impactées, la CNIL a prononcé le 22 juin 2023 une amende de 40 millions d’euros à l’encontre de Criteo.
Plus de 5 ans après l’entrée en application du RGPD, l’année 2023 a ainsi confirmé la capacité répressive de la CNIL et la nécessité de se mettre en conformité avec la règlementation sur la protection des données. Les avocats du cabinet June sont à votre disposition pour toute information sur le sujet et pour réaliser l’ensemble des diligences de mise en conformité.
Article co-écrit par Betty SFEZ et Thomas CHADENET
Avocats