Depuis près de 40 ans la CNIL établit un rapport annuel qui dresse un bilan de l’année écoulée. Le 15 avril 2019, la CNIL dévoile son 39ème rapport d’activité relatif à l’année 2018 marquée par l’entrée en vigueur du RGPD. Parmi les divers thèmes abordés, la CNIL revient sur l’ensemble des contrôles effectués et des sanctions prononcées.

11 077 plaintes ont ainsi été enregistrées par la CNIL en 2018, ce qui constitue 32,5 % de plaintes en plus qu’en 2017, un nombre record pour la CNIL.

A titre de rappel, la saisine de la CNIL peut être provoquée par :

–         Des signalements réalisés par les usagers sur le site CNIL.fr (plaintes / dénonciations)

–         Des signalements réalisés par d’autres autorités de contrôle européennes

–         Des faits remontés par la presse ou sur le web

–         L’auto-saisine de la CNIL sur les thèmes identifiées par cette dernière comme étant prioritaires.

En 2018, la CNIL a réalisé plus de 310 contrôles, dont 204 contrôles sur place, 51 contrôles en ligne, 51 contrôles sur pièces et 4 auditions.

Parce que le contrôle de la CNIL obéit à diverses règles et que les agents ne peuvent pas faire n’importe quoi, chaque entreprise devrait rédiger et mettre en place une procédure en cas de contrôle précisant le rôle de chacun en cas de vérification de la CNIL.

Un contrôle de la CNIL, peut en cas de manquement à la loi, soit donner lieu à une mise en demeure de se conformer dans un certain délai, soit donner lieu à une sanction pécuniaire. Par ailleurs, une plainte pourra aboutir à une mise en demeure de la CNIL sans qu’un contrôle préalable ait été réalisé.

L’année 2018 a été marquée par 49 mises en demeures (notamment dans le secteur des assurances et du ciblage publicitaire), et 10 sanctions pécuniaires.

Il faut toutefois se rappeler qu’une sanction de la CNIL est toujours contestable.

Attention : 2018 était la dernière année de tolérance et de faibles sanctions. Du fait de l’entrée en vigueur du RGPD et du principe de responsabilisation qui en découle, tel que le relève la Présidente de la CNIL Marie-Laure Denis, « la CNIL a volontairement fait preuve de patience et de tolérance car le RGPD est un changement profond » (https://www.latribune.fr/technos-medias/internet/rgpd-la-cnil-sera-plus-ferme-envers-les-entreprises-annonce-sa-presidente-marie-laure-denis-814287.html).

Pour l’année 2019, la CNIL annonce multiplier les contrôles, durcir les sanctions, concentrer son action sur les plaintes reçues et se focaliser sur certains thèmes comme les responsabilités entre les sous-traitants et les donneurs d’ordre ainsi que les données des mineurs.

L’heure n’est donc plus à l’attentisme de voir ce que le concurrent va faire : la CNIL va désormais sanctionner, et tout le monde, y compris les PME, doivent rapidement se mettre en conformité, notamment au moyen de diverses procédures simples et permettant de répondre correctement au principe de responsabilisation.