Le RGPD a mis en réseau les différentes autorités chargées de la protection des données en Europe. Pourtant, celles-ci sont souvent critiquées pour leur manque de réactivité de la part de la société civile. Mais comment se situe la CNIL par rapport à ses homologues ?
« Nos moyens sont insuffisants » avait lâché la présidente de la CNIL sur Télématin. Quelques mois plus tard devant les députés, elle indiquait que « la CNIL reste petite par rapport à des autorités de protection des données comparables ».
Il est souvent difficile de quantifier l’action de la CNIL et comment elle se place parmi ses homologues européens. Nous disposons de certaines données en open data comme son budget, ses effectifs ou bien le nombre de plaintes reçues mais cela reste difficilement interprétable.
Grâce à une agrégation inédite des données provenant des habilitations des agents de la CNIL publiés au journal officiel et une comparaison de statistiques avec celles de la CNIL espagnole et italienne, nous pourrons voir dans cet article avec quels moyens et pour quels résultats les réclamations portant sur les données personnelles sont traitées en France.
Des effectifs étonnamment stable par rapport aux plaintes
Comme on l’avait vu dans l’article « Data-bilan sur la CNIL », le nombre de plaintes déposées à la CNIL fortement augmenté ces dernières années. Pour savoir si la CNIL est en sous-effectif, il faut connaitre le nombre de personnes qui traitent les plaintes. Un fichier en open data mis à disposition de la CNIL permet de connaître les effectifs globaux de la CNIL mais sans détailler les intitulés de poste. En revanche, chaque habilitation à faire des contrôles est publié au journal officiel. Même si toutes les personnes habilitées ne sont pas dédiées aux contrôles, grâce à ces données, il est tout de même possible d’estimer les effectifs dont dispose la CNIL pour contrôler.
Ce que l'on peut remarquer est l'augmentation de ces effectifs. Mais la question reste de savoir si cette augmentation est plus forte que le celle des dépôts de plainte ou pas. J'ai ainsi calculé le nombre de plaintes par agent habilité à faire des contrôles.
Étonnamment, celui-ci reste stable dans l’ensemble. Il y a eu un pic en 2007 mais depuis la CNIL tourne à une centaine de plaintes par agent. Cette statistiques reste un indicateur théorique. Tous les agents habilités à faire des contrôles ne travaillent pas sur les plaintes. A ce propos, on notera que dans l'intitulé des postes, le mot "plainte" apparait plus souvent depuis 2021, à hauteur de 20% alors qu'il tournait entre 10 à 15% auparavant.
Sur le type de postes habilités à faire des contrôles, les juristes représentent près de la moitié du total des postes. Viennent ensuite les auditeur·rice·s/ingénieur·e·s pour 15%, et le reste agrège divers autres postes de direction ou encore de chargés d'instruction par exemple.
Un faible nombre d'amendes mais un total très élevé
Vennons-en maintenant au cœur du sujet : le nombre de plaintes traités et les sanctions prononcés. Pour avoir un point de comparaison, j'ai rassemblé divers données de 2021 de la CNIL française avec l'AEPD espagnole et la GPDP italienne.
Ces trois autorités reçoivent un nombre à peu près équivalent de plaintes RGPD. La CNIL peut répondre rapidement aux plaintes lorsqu'il n'y a pas d'enquête à mener. Ce taux d'inadmission est de seulement 41% alors qu'il monte à plus de 50% pour les autres autorités. En revanche la CNIL est très largement à la traine sur les sanctions et encore plus sur les amendes mais, avec ses 214 millions €, elle se rattrape sur le montant des sanctions où elle dépasse de loin ses homologues.
Cette comparaison n'est faite que sur l'année 2021 que la CNIL considère comme une "année record" même si en 2020 le montant des sanctions n'était pas si éloigné avec 138 millions €. Dans le détail des sanctions, on se rend compte qu'une sanction de 150 millions € pour Google et une autre de 60 millions € pour Facebook ont largement fait gonfler le montant total.
Ce qu'il manque dans ces chiffres est aussi le temps passé sur des missions de contrôle en dehors des plaintes. Les autorités chargée de la protection des données peuvent s'auto-saisir. En France, la CNIL prend 50% du temps des juristes et auditeur·rice·s pour réaliser des enquêtes sur des sujets impulsés par la présidente. Pour l'AEPD espagnole ou la GPDP italienne, ces données sont difficiles à obtenir alors qu'il est fait mention de ces initiatives propres à plusieurs reprises dans les rapports d’activités.
Concernant le délai de traitement, le dernier rapport d'activité de la CNIL indique une durée moyenne de traitement de cinq mois mais cette durée "couvre des situations très variées" est-il écrit. Côté espagnol il est détaillé la durée selon le résultat du traitement : 255 jours (un peu plus de 8 mois) lorsqu'une sanction est prise ou encore 88 jours (presque 3 mois) pour une plainte qui porte sur l'exercice d'un droit (droit d'accès, de suppression…).
Étude de cas : l'amende contre Discord
Le 10 novembre 2022 la CNIL a infligé une amende de 800 000 € au service de tchat en ligne Discord. Pour moi cette sanction est symptomatique du fonctionnement de la CNIL.
Ce qui est intéressant avec cette sanction est qu'aucune plainte n'a été déposée et que c'est bien à l'initiative de la CNIL que le contrôle a été effectué. Le 14 août 2020 la présidente de la CNIL décide d'enquêter sur Discord dans le cadre de son plan d'action Covid sur les services numériques utilisés lors des confinements.
Le contrôle a révélé des manquements mais tous semblent avoir été comblés pendant le contrôle. Pourtant, après deux années et demi de procédure, la CNIL a tout de même infligé une amende. Cela peut poser question quand des situations de mise en conformité lors du contrôle sont fréquentes lorsqu'on dépose une plainte, mais que celles-ci ne débouchent jamais sur une sanction.
Pour moi, cette affaire révèle surtout la lourdeur de la procédure de contrôle. Début 2022 la CNIL a procédé à une réforme de ses procédures pour les assouplir. On ne pourra sûrement observer ses effets qu'en 2023.
Méthodologie
Retrouvez le code source de mes algorithmes ici : https://framagit.org/DavidLibeau/data-bilan. Toutes les données nominatives des agent·e·s ont été pseudonymisées puis agrégées pour l'analyse.
4 réponses à “La CNIL prononce-t-elle assez de sanctions ?”
Votre article pourrait être intéressant s’il ne partait pas sur un contresens majeur.
La liste des personnes « habilitées » à procéder à des contrôles ne correspond pas aux personnes « dédiées » aux contrôles.
Les personnes qui fréquentent la CNIL dans le cadre de leur activité professionnelle savent que dans la liste des personnes habilitées, figurent un grand nombre de personnes qui ont une fonction très différente des contrôles. Il en est ainsi de la cheffe du service des DPO.
Cette liste permet de faire intervenir ces agents lors de contrôles, en cas de besoin, pour une compétence particulière par exemple, ou pour compléter les effectifs.
Il est donc tout à fait incorrect de comparer le nombre de contrôles à l’effectif de la liste des personnes habilitées.
Oui, vous avez raison. Je n’ai en effet pas été très clair et j’ai procédé à une simplification dans le texte. Le but est d’analyser les données disponibles pour tenter d’avoir des points de comparaison mais la fiabilité n’est pas à 100%. Je vais le modifier pour ajouter cette nuance. En revanche, je pense qu’on peut tout à fait comparer effectifs habilités aux contrôles et nombre de plaintes. J’avais déjà indiqué que le mot plainte n’était pas présent dans l’intitulé des postes de tout le monde mais je n’ai pas voulu faire une analyse plus fine pour des raisons de protection des données.
A vrai dire, comparer les effectifs au nombre de plaintes n’a pas beaucoup plus de sens.
La majeure partie des collaborateurs de la CNIL ne sont pas chargés de traiter des plaintes.
Si on ne trouve pas les effectifs exacts, le rapport annuel de la CNIL (https://www.cnil.fr/fr/mediatheque/rapports-annuels) donne quand même une idée de son organigramme (page 20).
Et on constate que de nombreux services n’ont pas de rapport avec le traitement des plaintes.
En particulier, la CNIL a des missions de conseil et d’accompagnement, qui occupent bien plus de monde que les plaintes, et qui ont pour but d’améliorer la conformité des entreprises, et donc de diminuer le nombre de plaintes.
Je ne suis pas d’accord avec votre analyse. Le nombre de plainte n’a selon moi rien à voir avec la conformité des entreprises. Le nombres de personnes traitant des données est tel que l’évolution des plaintes ne serait être impactée par leur conformité qu’à un pourcentage très élevé de conformité. L’évolution du nombre des plaintes est selon moi beaucoup plus impacté par le nombre de plaignants.
Il s’agit bien de mesurer la force d’action répressive (l’habilitation à faire des contrôles) comparée à la demande (les plaintes). Cette comparaison est faite avec les données disponibles qui ne sont pas exhaustives. A cette égard, on peut également citer l’article 55 du règlement de la CNIL qui permet le recours à des experts lors des contrôles, dont nous n’avons pas de données.