La Cnil a prononcé 14 sanctions, dont 11 amendes, contre des infractions à la loi. Google est l'entreprise qui a dû régler le montant le plus élevé.

138 489 300 euros, précisément. C’est le montant total des amendes infligées en 2020 par la Commission nationale de l’informatique et des libertés pour des manquements dans la protection et le bon usage des données personnelles — que décrit le Règlement général sur la protection des données (RGPD), constituant le cadre de référence dans l’Union européenne depuis 2018. La Cnil a publié son rapport d’activité pour l’année 2020 ce 18 mai 2021.

Cette somme cache une particularité : elle provient surtout de quatre amendes, tombées en fin d’année. Il y a d’abord eu celle contre Google le 10 décembre, de 100 millions d’euros. Le même jour, Amazon a aussi été sanctionné, à hauteur de 35 millions d’euros. Quelques semaines plus tôt, le 18 novembre Carrefour a dû régler 2,25 millions et 800 000 euros (pour Carrefour Banque).

La Cnil tient compte de qui elle sanctionne

Les autres sanctions paraissent bien dérisoires à côté : 250 000 euros contre Spartoo pour la rétention de numéros de carte bancaire sans protection, 150 000 euros pour une coopérative de commerçants détaillants, 20 000 euros pour Nestor, 7 500 euros pour Performeclic, 6 000 euros pour un médecin, 3 500 euros pour une société de transport de voyageurs par taxi et 3 000 euros pour un second médecin.

Évidemment, la Cnil adapte ses sanctions et leur publicité en tenant compte de certains paramètres, comme la gravité des faits, la coopération des responsables en charge du traitement, le respect des procédures, la présence d’actions correctrices, le nombre de personnes touchées et le profil des organisations en cause. En clair, on ne punit pas de la même façon Google et une TPE.

Amazon a été sanctionnée pour sa politique en matière de cookies. // Source : Flickr/CC/Watchcaddy (photo recadrée)

Au total, la Cnil a prononcé 14 sanctions, dont les 11 amendes mentionnées plus tôt. Il y a eu deux rappels à l’ordre (un pour une députée, l’autre pour le rectorat de l’académie de Normandie), ainsi qu’une injonction sous astreinte pour une société de prestations de garde d’enfants à domicile. Enfin, on relève un non-lieu pour une association politique, pour un défaut de coopération avec la Cnil.

Le bilan des contrôles pour 2020 se décline comme suit : 247 contrôles ont été opérés. 82 ont été effectués en ligne, 74 sur pièces, en obtenant certains documents, 72 sur place, en se rendant dans les locaux des organisations et les 19 restants sur audition. Compte tenu de la pandémie, la Cnil a « priorisé le traitement des plaintes liées au covid-19 ainsi que les contrôles des dispositifs mis en œuvre ».

Où va l’argent des amendes ?

Tout cet argent ne sert pas à financer la Cnil, en tout cas pas de façon aussi directe. En fait, le produit des amendes prononcées par la Commission nationale de l’informatique et des libertés est versé au budget français. On voit par exemple dans l’édition 2018 du compte général de l’État une ligne intitulée « sanctions pécuniaires prononcées par les autorités administratives indépendantes  », ce qu’est la Cnil.

Cette ligne concerne donc la Cnil, mais aussi d’autres organismes comme l’Autorité de la concurrence, le Conseil supérieur de l’audiovisuel, l’Autorité de régulation des jeux en ligne, l’Autorité de régulation des communications électroniques et des postes ou bien l’Autorité de sûreté nucléaire. Ces sommes sont versées à partir du moment où tous les recours juridiques éventuels ont été épuisés.

Partager sur les réseaux sociaux

La suite en vidéo