La CNIL face à ses pairs
Jean-Jacques Quisquater, Gael Hachez et Charles Cuvelliez

Photo d'illustration
GONZALO FUENTES
Jean-Jacques Quisquater, Gael Hachez et Charles Cuvelliez

Photo d'illustration
GONZALO FUENTES
La Commission européenne a mis en œuvre l'article 97 du RGPD pour évaluer son efficacité comme elle doit le faire tous les 4 ans. Elle a envoyé un questionnaire, comme le prévoit cette disposition, aux autorités de protection des données à travers toute L'Europe. L'EDPB, l'European Data Protection Board, qui regroupe ces dernières, a consolidé leurs réponses, ce qui permet une comparaison éclairante.
C'est ainsi qu'on apprend que la CNIL, en France, aura reçu 12.800 plaintes en 2023 (qui n'est pas terminé). Cette année sera sans doute la plus basse, en termes de plaintes reçues, depuis 2019. Cela reste, par rapport aux autres états, un volume élevé puisque la France est classée quatrième en volume de plainte depuis 2018 (Figure 1). L'EDPB divise les États en deux groupes : ceux à plus de 2.000 plaintes par an et ceux à moins de 2.000 plaintes par an. Dans le premier groupe, on trouve les grands pays, forcément, mais aussi les Pays-Bas qui atteignent des chiffres comparables à l'Allemagne, la France et l'Espagne.

Figure 1
La CNIL explique dans sa réponse à la Commission européenne voir assez large pour la notion de plainte : une dénonciation est ainsi considérée comme telle. Seules celles anonymes ne sont pas assimilées à des plaintes, mais elles peuvent donner lieu à une enquête. Ce n'est que quand la demande adressée à la CNIL ne mentionne pas une non-conformité ou une irrégularité de la part de la personne qui s'est adressée à elle que son statut est relégué à une demande d'information. Autre information intéressante : le temps mis à gérer une plainte de bout en bout. La France, avec un temps moyen de 6 mois, se situe plutôt parmi les bons élèves de l'espace économique européen au sein duquel le RGPD s'applique.
Si on pousse un peu loin l'analyse de l'EDPB et que l'on classe la France et les autres États membres de l'Espace économique européen non pas en volume total de plaintes reçues, mais en plaintes cumulées depuis 2018 par 1.000 habitants, l'ordre change (Figure 2). Si on fait exception des états peu peuplés pour lesquels de tels ratios peuvent vite s'amplifier, on voit que la France arrive cette fois en 19e position. Ce sont les Pays-Bas et ses citoyens qui semblent les plus pointilleux pour la protection des données personnelles puisque ce pays arrive en deuxième position avec 6 plaintes par 1.000 habitants depuis que le RGPD existe ! Même l'Allemagne ne se classe plus qu'en douzième position.

Figure 2
Les autorités de protection des données peuvent initier d'eux-mêmes des enquêtes sans être saisies d'une plainte. En consolidant les chiffres, l'EDPB arrive à la conclusion que les autorités de protection des données font un large usage de ce pouvoir. L'Allemagne et la Hongrie en sont les plus friands avec, depuis 2018, 7467 et 3332 enquêtes démarrées de la sorte. La France arrive en quatrième position après l'Autriche.
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

À nouveau pour comparer ce qui est comparable, en ramenant les enquêtes d'initiative (sans plainte) par pays, on trouve un ordre différent, avec Chypre, l'Islande, la Hongrie comme pays spécialement actifs à prendre des initiatives. La France arrive en 15e position.
On demandait aussi à la CNIL et à ses collègues après combien de mois ces enquêtes auto-initiées étaient clôturées. Entre 2018 et 2020, il fallait 8 mois, puis ensuite 6 mois entre 2021 et 2022. À l'heure actuelle, on tombe à 4 mois. Tous les pays ne peuvent pas faire état d'une telle performance. L'Irlande met deux à trois fois plus de temps à clôturer les auto-saisies.
Les autorités de protection des données peuvent exercer leur pouvoir autrement qu'en imposant des amendes : ce sont des avertissements, des réprimandes, des injonctions de respecter les droits des personnes concernées par le traitement de leurs données, c'est l'obligation de communiquer sur les brèches de données dont a été victime une personne, c'est imposer l'arrêt du traitement des données personnelles auprès de l'entreprise qui s'en occupe, c'est ordonner la rectification ou la destruction des données personnelles incriminées et même retirer des certifications.
Là aussi, les chiffres sont surprenants (Figure 3) : l'Allemagne fait grand usage de décisions qui ne donnent pas lieu à des amendes, jusqu'à plusieurs milliers d'ordonnances en ce sens, suivie par l'Espagne. La France en fait peu usage avec moins de 200 décisions d'actions correctrices par an. C'est le seul grand pays de l'Europe de l'Ouest à se trouver dans cette situation. On apprend aussi que, quand la CNIL exerce ce pouvoir, il s'agit de réprimandes et d'injonctions relatives au respect des demandes des personnes qui veulent exercer leurs droits sur les données personnelles qui les concernent.

Figure 3
La CNIL aura en tout en pour tout imposé 79 amendes entre 2018 et 2023 pour 576 décisions qui n'ont pas donné lieu à une amende : c'est peu comparé à un pays comme l'Espagne qui a infligé 1.596 amendes ou l'Allemagne qui est allé jusqu'à 2.106 amendes. L'Italie arrive en 3e position avec 598 amendes. Mais est-ce un défaut ? Les motifs des amendes sont intéressants : pour la CNIL, les amendes sont données en cas de récidive pour non-conformité avec le RGPD, en cas de manque de transparence ou d'information (une politique de confidentialité de mauvaise qualité formulée dans un langage peu clair). Une amende sera aussi infligée quand les données sont conservées plus longtemps qu'elles ne devraient l'être ou en cas de manquement à la sécurité qui doit entourer les données (des mots de passe peu robustes, une absence de chiffrement des données personnelles stockées quand il le faut ou un personnel non autorisé qui y a accès). Quand l'entreprise ne répond pas aux demandes de personnes à accéder à leurs données, à les détruire ou à y faire objection, voilà d'autres motifs d'amende.
Le manque de coopération avec les services de la CNIL peut aussi donner lieu à des amendes. Le montant total des amendes imposées par la CNIL est par contre conséquent : 131.868.700 euros depuis le début du RGPD. C'est le 4e montant le plus élevé parmi les états qui appliquent le RGPD (Figure 4). L'Irlande arrive en première position avec tout juste un peu plus d'un milliard d'euros d'amendes en 2022 et bien au-delà en 2023, pour atteindre 2.855.412.000 euros au total. Ce n'est que ces dernières années que l'Irlande a appliqué de grosses amendes, car il y avait une forte pression qu'elle sévisse contre les géants de la Tech, pas très regardants sur la protection des données personnelles, qui ont installé leur quartier général européen dans ce pays.

Figure 4
À noter que l'EDPB divise les pays en trois catégories d'amendes :
On peut s'amuser à calculer la rentabilité des agences de protection des données avec le ratio : amendes cumulées sur budget. Parmi les pays à gros budget, la France enregistre un ratio de 10% alors que l'Allemagne n'a un ratio que de 1,5%. L'Irlande crève tous les plafonds puisque son ratio atteint 282%
Enfin, peu de cas sont contestés devant la justice : 14 pour la France (soit 2,4% des décisions de la CNIL), dont seulement 2 l'ont été avec succès avec une simple réduction de l'amende au final.
L'EDPB se penche également sur les ressources des différentes autorités de protection des données. C'est l'Allemagne qui l'emporte une fois de plus, en nombre de personnel en fonction, de loin devant tous les états membres. En 2024, l'autorité allemande prévoit d'arriver à quasiment 1.100 agents, mais répartis en 18 agences dans les Länders (ceci explique cela : une autorité par Länder). La France arrivera à 300 agents en 2024 venant de 225 en 2020. Elle sera la mieux pourvue après la Pologne et l'Allemagne. L'Irlande et les Pays-Bas, pourtant des plus petits pays, la talonneront en 2024.
La comparaison des budgets montre aussi de fortes disparités : l'Allemagne aura un budget en 2024 de 77.757.130 euros, qui semble en baisse par rapport à 2023 (120.628.140 euros), mais il manque le budget de l'autorité de protection des données d'un des Länders. Toutes les autres agences verront leur budget augmenter en hausse. La France disposera d'un budget de 27.900.000 euros en 2024, quasiment 2 millions de plus qu'en 2023. L'EDPB posait ensuite une question subjective aux autorités de protection des données : estiment-ils leurs ressources humaines, financières et techniques suffisantes ? Quasi tous les pays ont répondu par la négative. Seuls le Liechtenstein, l'Irlande et le Luxembourg se sont déclarés satisfaits sur les 3 aspects simultanément.
Ce sont des fortes disparités entre pays qui se dégagent des chiffres collectés par l'EDPB. Cette dernière met aussi en évidence toutes les nouvelles législations à venir ou déjà en place : DMA, DSA, AI Act, DGA qui, toutes, ont des composantes liées aux données personnelles. L'EDPB a sans doute raison d'annoncer que l'augmentation des moyens et des ressources ne sera pas suffisante pour adresser ce que ces législations diront de faire sur les données personnelles, mais allons d'abord comprendre le pourquoi de ces disparités ! Nos détracteurs hors Europe pour le RPGD auront vite fait de nous critiquer dans cette dispersion à appliquer le RGPD.
____
Pour en savoir plus
Jean-Jacques Quisquater, Gael Hachez et Charles Cuvelliez