Les tendances de 2021 sont confirmées en 2022, tant par le nombre de mesures adoptées (21 sanctions et 147 mises en demeure) que par le montant cumulé des amendes, qui dépasse à nouveau les 100 millions d’euros. L’année 2022 aura également été marquée par une réforme importante des procédures correctrices.
En ce début d’année, la CNIL a souhaité mettre en avant les actions menées dans le cadre de ses pouvoirs répressifs au cours de l’année 2022.
En 2022, 21 sanctions ont été prononcées par la CNIL, pour un montant de 101 277 900 euros. 13 d’entre elles ont été rendues publiques. Ces sanctions comportent 19 amendes (dont 7 avec injonctions sous astreinte) et 2 décisions de liquidation d’astreinte (c’est-à-dire le paiement d’une somme en raison du non-respect d’un ordre donné par la CNIL dans sa décision de sanction).
17 sanctions ont été prononcées par la formation restreinte de la CNIL, l’organe de la CNIL en charge de prononcer les sanctions, et 4 par son président seul, dans le cadre de la procédure de sanction simplifiée mise en place en 2022. Cette nouvelle procédure a notamment été créée pour traiter les dossiers ne présentant pas de difficulté particulière, et permettre ainsi à la CNIL de mieux agir face aux plaintes de plus en plus nombreuses reçues depuis l’entrée en application du RGPD.
Les décisions de sanction ont concerné des secteurs d’activité, des thématiques et des acteurs très divers. Parmi les manquements les plus fréquents figurent le défaut d’information des personnes, le non-respect de leurs droits et le défaut de coopération avec la CNIL. Sur ces 21 sanctions, un tiers comporte également un manquement en lien avec la sécurité des données personnelles. Enfin, 4 sanctions concernent une mauvaise gestion des cookies et autres traceurs et 3 contiennent des manquements en lien avec la prospection commerciale.
La CNIL a également adopté 3 décisions en coopération avec ses homologues européens, dans le cadre du guichet unique prévu par le RGPD. En parallèle, elle a examiné 18 projets de décision d’homologues européens relatifs à des traitements qui concernent notamment des français. La CNIL a par ailleurs activement participé à 5 procédures engagées au niveau du CEPD pour régler des litiges avec certains homologues sur des projets de décision, notamment concernant le groupe META.