En 2023, 42 sanctions ont été prononcées par la Cnil pour un montant de 89 179 500 euros. En cause la publicité et le commerce en ligne mais aussi la géolocalisation des véhicules, les droits des salariés ou encore le traitement des données de santé. Plus surprenant, ces sanctions concernent aussi bien les multinationales que les petites entreprises, le secteur privé que le secteur public.
L'augmentation du nombre de sanctions s'explique par "l’effet conjugué de la mise en œuvre de la procédure dite de « sanctions simplifiées », d’un accroissement des réclamations et de la coopération européenne" explique la Cnil.
Du côté du secteur privé, le démarchage publicitaire (sous la forme d’un message électronique ou bien celle d’une publicité ciblée sur un site web) apparait comme un motif récurrent de sanction. Or, ce démarchage ne peut se faire que lorsque la personne concernée a préalablement donné son consentement.
Autre dysfonctionnement relevé par la Cnil, l'utilisation abusive des données personnelles. Deux ministères ont ainsi été rappelés à l'ordre pour avoir utilisé les coordonnées des agents publics afin de leur adresser un message communiquant sur le projet de réforme des retraites.
Efficacité des mises en demeure
Lorsqu'elle ne prononce pas de sanction, la Cnil peut opter pour les mises en demeure. Cette décision de la présidente de la Cnil ordonne à un organisme de se mettre en conformité dans un délai fixé. En 2023, 168 mises en demeure ont été prononcées contre 147 en 2022 et 48 en 2018. Au sein du secteur public pas moins de 39 communes ont été mises en demeure pour avoir mis en place des lecteurs automatisés de plaques d’immatriculation (dispositif « LAPI »). Or, seuls les services de police nationale ou de gendarmerie – et non les communes – peuvent mettre en œuvre de tels dispositifs. "Le recours à cette mesure efficace pour obtenir la mise en conformité des organismes augmente depuis 2021" précise la Commission nationale de l'informatique et des libertés.
En coopération avec ses homologues européennes, la Cnil a également participé à deux procédures de règlement des litiges concernant le groupe Meta (Facebook, WhatsApp, Instagram...) et la société Tik Tok ainsi qu’à une procédure d’avis d’urgence du CEPD (Comité européen de la protection des données ) concernant également le groupe Meta.