2021, une année record pour l’action répressive de la CNIL

Lors de la journée de la protection des données, la CNIL a présenté le bilan de son action répressive pour l’année passée. L’occasion de rappeler quels types d’erreurs peuvent faire l’objet de sanctions.

En 2021, le nombre de mesures adoptées (18 sanctions et 135 mises en demeure) et le montant cumulé des amendes (plus de 214 M€) mis en œuvre par la Commission Nationale de l’Informatique et des Libertés (CNIL) a atteint des records. Et pour la première fois de son existence, elle a dû prendre une décision de liquidation d’astreinte (paiement d’une somme pour non-respect d’un ordre donné par la CNIL) envers une société sanctionnée d’une amende de 7 300 € qui a finalement payé 65 000 € supplémentaires, car elle n’avait pas procédé aux modifications demandées dans le traitement de ses données.

Défaut d’information et durée de conservation excessive

Les manquements les plus fréquents restent le défaut d’information des personnes de la collecte de leurs données, et des durées de conservation des données excessives. Sur 18 sanctions, la moitié concerne un manquement en lien avec la sécurité des données personnelles, et 4 visent une mauvaise gestion des cookies et autres traceurs. 135 mises en demeure (obligation de se mettre en conformité dans un délai maximal de 6 mois) ont également été prononcées (49 en 2020), dont la plupart concerne un manquement en lien avec l’utilisation des cookies. En parallèle, la CNIL a clos 123 dossiers à la suite des actions prises par les entreprises pour se mettre en conformité.