Le site data.gouv.fr diffuse de nombreuses données provenant d’autorités administratives. La CNIL n’y coupe pas. Un tableau, laconique, relève le nombre de sanctions prononcées par celle-ci entre 2014 et 2016. Et c’est peu de le dire, les chiffres semblent bien faibles.
Ce jeu de données détaille en effet le nombre de sanctions, « prononcées par la formation restreinte de la CNIL, notifiées chaque année » avec une ventilation par type de décision, relève la page de data.gouv.fr consacrée à la Commission informatique et libertés.
Entre 2014 et 2016, ainsi, la CNIL n’a prononcé que 2 sanctions pécuniaires non publiques et 13 décisions publiques de ce type. Les avertissements non publics et publics, 2 autres sanctions prévues par la loi de 1978, sont respectivement de 13 et 10. Enfin, seules 3 relaxes ou non-lieu ont été décidées pour 2014 (les données pour 2015 et 2016 n’étant pas renseignées). Au total, on aboutit à 41 sanctions connues sur les trois années considérées.
Un autre jeu de données détaille le nombre de mises en demeure. Les chiffres sont plus importants. Il y a eu 62 en 2014, 93 en 2015 et 82 en 2016, soit 237 sur les trois années concernées.
L’avant et l’après loi Lemaire
Ce déséquilibre entre mises en demeure, avertissements et sanctions pécuniaires s’explique en partie par les contraintes qui prévalaient antérieurement à la loi Lemaire. Avant le 7 octobre 2016, lorsqu’une entreprise violait la loi de 1978, cela pouvait engendrer une mise en demeure ou, dans l’hypothèse d’une faille passée par exemple, un avertissement. La sanction pécuniaire n’intervenait qu’après le non-respect d’une mise en demeure.
La loi sur la République numérique a revu l’arbre décisionnel. Outre une mise en demeure, la violation de la loi de 1978 peut désormais entrainer directement un avertissement, une sanction pécuniaire ou une injonction de cesser le traitement. Et c’est la société Hertz France qui a ouvert le bal le 27 juillet dernier, puisque les faits du dossier étaient postérieurs à la loi Lemaire.
En d’autres termes, la CNIL a gagné en nervosité sur le papier. Pour les huit premiers mois de l’année 2017, seuls cinq sanctions et deux avertissements publics ont été décidés par la Commission, apprend-on sur Legifrance. Le premier groupe concerne donc Hertz France, mais aussi la société BDE, une société libérale à responsabilité limitée non désignée, Facebook et Allocab. Le second, OuiCar et Carrefour Banque.
Des sanctions revues à la hausse
La loi Lemaire a revu à la hausse le plafond des sanctions prononcées par la CNIL. S’il doit toujours être proportionné à la gravité du manquement commis et aux avantages tirés, la formation restreinte de la Commission nationale de l'informatique et des libertés peut désormais aller jusqu’à 3 millions d’euros, contre précedemment 150 000 euros lors du premier manquement et 300 000 euros en cas de récidive dans les cinq années.
Et encore, ce n’est qu’un avant-goût de la réforme engendrée par le futur règlement européen sur les données personnelles applicable dès le 25 mai 2018. L’article 83 du RGPD prévient en effet que la violation de certaines dispositions du texte engendrera des amendes administratives « pouvant s'élever jusqu'à 20 000 000 euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu ». Tel sera le cas dans l’hypothèse du non-respect d'une injonction, d'une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l'autorité de contrôle.
21 412 plaintes entre 2014 et 2016
Au final, chacun appréciera le poids de ces décisions. Remarquons spécialement les critiques adressées par Benjamin Sonntag, par ailleurs l’un des cofondateurs de la Quadrature du Net. « Cette autorité est un échec cuisant, ne sert à rien puisque ne punit pas... » estime-t-il sur son compte personnel, alors que « des centaines de boites abusent de fichiers illégaux ».
Pour apprécier le poids de ces 237 mises en demeure et 41 sanctions entre 2014 et 2016, on peut d'ailleurs exploiter un autre ensemble de données : sur la même période, la CNIL a en effet été destinataires de 21 413 plaintes. Soit un bel effet d’entonnoir !
« La sanction n’est pas l’instrument unique », relativise la CNIL
Contactée, la CNIL nous indique que son objectif premier « est la mise en conformité ». Dans ce périmètre, « la sanction n’est pas l’instrument unique pour y parvenir, mais plutôt un des outils à la disposition du régulateur ». La commission insiste sur ce point : « on ne peut réguler uniquement par la sanction. L’accompagnement des organismes (CIL, pack de conformité, diffusion bonnes pratiques, etc.) concourt à cette mise en conformité ».
Dans son rapport 2013, la même signalait avoir reçu cette année-là 5 638 plaintes et réalisé 414 contrôles. S’il n’y a eu que 57 mises en demeure et 14 procédures de sanction, le document indique que « dans 99 % des cas, l’intervention de la CNIL [s’est] traduit par une suite favorable pour le demandeur ». En 2016, elle insistait sur la même veine, considérant que « le prononcé de sanctions par la CNIL permet de sanctionner des organismes qui persistent dans des comportements répréhensibles, et constitue donc un instrument de dissuasion important ».
D’autres fois, remarquons, des plaintes tombent telle l’épée dans l’eau. Voilà plusieurs mois, un internaute avait dénoncé auprès de la CNIL le recours par plusieurs sites du GESTE, à savoir lexpress.fr, lemonde.fr et lefigaro.fr à des scripts permettant de détecter AdBlock Plus, sans information ni consentement préalable. En avril dernier, la CNIL a classé cette plainte estimant qu’« en l’état de nos constatations, il apparait qu’à ce jour aucun de ces sites n’a recours à un script de détection d’un bloqueur de pub ». Plus exactement, il y a eu bien un système visant à détecter l'usage de ces adblocks. Seulement, avant cette réponse de la Commission, les sites se sont mis en conformité.
