Bilan 2022 de la CNIL : des sanctions record et une vigilance accrue sur l’IA.
L'IA générative, une technologie très consommatrice en données personnelles, représente un nouveau défi pour la Commission

La Commission nationale de l’informatique et des libertés (CNIL) a présenté son rapport d’activité pour l’année 2022, dans lequel elle évoque un nombre record de mises en demeure et de sanctions prononcées à l’encontre des acteurs du numérique qui ne respectent pas la protection des données personnelles. 2022 marque la fin d’un cycle au cours duquel la CNIL a modifié ses méthodes de travail pour répondre aux exigences du RGPD, dans le domaine de l’accompagnement à la conformité et de l’information du public.

La Commission a rappelé qu'elle a engagé depuis plusieurs années des travaux pour anticiper et répondre aux enjeux soulevés par l’IA. En 2023, elle va prolonger son action sur les caméras augmentées et souhaite élargir ses travaux aux IA génératives aux grands modèles de langage et aux applications dérivées (notamment les chatbots).


Un bilan répressif sans précédent

En 2022, la CNIL a reçu 12 193 plaintes et en a traité 13 160, ce qui représente une légère baisse par rapport à l’année précédente (13 425 plaintes traitées). Toutefois, la CNIL a renforcé son action répressive, en adressant 147 mises en demeure, contre 135 en 2021, et en prononçant 21 sanctions pour un montant total de 101 millions d’euros d’amendes. Parmi les principaux manquements sanctionnés figurent le non-respect du consentement des utilisateurs pour les cookies publicitaires, la surveillance excessive des salariés ou des clients, ou encore les failles de sécurité exposant les données personnelles à des risques de piratage ou de rançongiciels.

Citation Envoyé par CNIL
Pour la première fois depuis l’entrée en application du RGPD, la CNIL a traité autant, et même davantage de plaintes qu’elle en a reçues, atteignant l’objectif que 100 % des plaintes puissent être traitées, que chacun reçoive une réponse, adaptée à sa situation, lorsqu’il saisit la CNIL. C’est un cap fondamental qui a été franchi. L’éventail des issues des plaintes a, par ailleurs, été enrichi avec les premières sanctions dites simplifiées de l’histoire de la CNIL.

D’une manière générale, l’activité répressive reste sur des standards élevés, dans la mesure où 345 contrôles ont été réalisés, 147 mises en demeure notifiées et 21 sanctions adoptées, pour un total d’amendes cumulées de plus de 100 millions d’euros. Les organismes concernés par ces mesures sont de toutes tailles, y compris des géants du numérique, et relèvent d’une grande diversité de secteurs.

Depuis l’entrée en application du RGPD, la politique répressive de la CNIL n’a pas varié. L’objectif poursuivi est en priorité la mise en conformité des organismes. À cet égard, 94 % des investigations menées aboutissent à la mise en conformité des organismes sans que la CNIL recoure à la sanction. Pour autant, entre 2018 et 2022, la somme des sanctions prononcées par la CNIL s’élève à plus d’un demi-milliard d’euros, ce montant reflétant le poids de l’exploitation des données dans les modèles d’affaires actuels.
Nom : CNIL.png
Affichages : 735
Taille : 94,1 Ko

La CNIL a également participé à la régulation concertée des géants du numérique au niveau européen, en examinant 18 projets de sanctions proposés par ses homologues et en demandant à l’autorité irlandaise de sanctionner Meta (ex-Facebook) pour ses pratiques abusives en matière de transfert de données hors de l’Union européenne. Cette demande a abouti à l’amende record de 1,2 milliard d’euros infligée à Meta le 22 mai 2023.

Citation Envoyé par CNIL
En 2022, 21 sanctions ont été prononcées par la CNIL, pour un montant de 101 277 900 euros.

13 d’entre elles ont été rendues publiques. Ces sanctions comportent 19 amendes (dont 7 avec injonctions sous astreinte) et 2 décisions de liquidation d’astreinte (c’est-à-dire le paiement d’une somme en raison du non-respect d’un ordre donné par la CNIL dans sa décision de sanction).

17 sanctions ont été prononcées par la formation restreinte de la CNIL, l’organe de la CNIL en charge de prononcer les sanctions, et 4 par son président seul dans le cadre de la procédure de sanction simplifiée mise en place en 2022. Cette nouvelle procédure a notamment été créée pour traiter les dossiers ne présentant pas de difficulté particulière, et permettre ainsi à la CNIL de mieux agir face aux plaintes de plus en plus nombreuses reçues depuis l’entrée en application du RGPD.

Les décisions de sanction ont concerné des secteurs d’activité, des thématiques et des acteurs très divers. Parmi les manquements les plus fréquents figurent le défaut d’information des personnes, le non-respect de leurs droits et le défaut de coopération avec la CNIL. Sur ces 21 sanctions, un tiers comporte également un manquement en lien avec la sécurité des données personnelles.

Enfin, 4 sanctions concernent une mauvaise gestion des cookies et autres traceurs et 3 contiennent des manquements en lien avec la prospection commerciale.

La CNIL a également adopté 3 décisions en coopération avec ses homologues européens, dans le cadre du guichet unique prévu par le RGPD. En parallèle, elle a examiné 18 projets de décision d’homologues européens relatifs à des traitements qui concernent notamment des Français. La CNIL a par ailleurs activement participé à 5 procédures engagées au niveau du CEPD pour régler des litiges avec certains homologues sur des projets de décision, notamment concernant le groupe META
Nom : meta.png
Affichages : 658
Taille : 13,1 Ko

Une vigilance accrue sur l’intelligence artificielle

La CNIL a également souligné dans son rapport qu’elle portait une attention particulière aux applications basées sur l’intelligence artificielle, notamment celles qui utilisent des techniques génératives, comme les robots conversationnels ou les générateurs de textes ou d’images. Ces technologies sont très consommatrices en données personnelles, tant pour entraîner les algorithmes que pour interagir avec les utilisateurs. Elles posent également des questions éthiques sur la fiabilité, la transparence et la responsabilité des systèmes d’IA.

La CNIL a ainsi indiqué qu’elle avait reçu cinq plaintes contre OpenAI, une entreprise américaine qui a développé ChatGPT, un robot conversationnel capable de produire des réponses cohérentes et personnalisées à partir de n’importe quelle requête. La CNIL a adressé un premier questionnaire à OpenAI dans le cadre d’une procédure de contrôle, afin de vérifier le respect du règlement général sur la protection des données (RGPD) par cette société.

La CNIL a également publié sa position sur le déploiement de caméras “augmentées” dans les espaces publics, qui utilisent l’IA pour analyser les images captées. Elle a rappelé que ces dispositifs devaient respecter le principe de proportionnalité et être soumis à une autorisation préalable de la CNIL ou du ministère de l’intérieur.

En 2023, l’action de contrôle de la CNIL portera notamment sur :
  • le respect de la position sur l’usage de la vidéosurveillance « augmentée », publiée en 2022, par les acteurs publics et privés ;
  • l’usage de l’intelligence artificielle pour la lutte contre la fraude, par exemple pour la lutte contre la fraude à l’assurance sociale, au regard des enjeux liés à l’usage de tels algorithmes ;
  • l’instruction de plaintes déposées auprès de la CNIL. Si le cadre juridique de l’entraînement et de l’utilisation des IA génératives nécessite d’être clarifié, ce à quoi la CNIL va s’employer, des plaintes ont d’ores et déjà été déposées. La CNIL a, en particulier, reçu plusieurs plaintes à l’encontre de la société OpenAI qui gère le service ChatGPT, et a ouvert une procédure de contrôle. En parallèle, un groupe de travail dédié a été créé au sein du Comité européen de la protection des données ou CEPD (en anglais), en vue d’assurer une démarche coordonnée des autorités européennes et une analyse harmonisée des traitements de données mis en œuvre par l’outil d’OpenAI.

Son plan d’action s’articule autour de 4 volets :
  • appréhender le fonctionnement des systèmes d’IA et leurs impacts pour les personnes ;
  • permettre et encadrer le développement d’IA respectueuses de la vie privée ;
  • fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe ;
  • auditer et contrôler les systèmes d’IA et protéger les personnes.

Un accompagnement renforcé des acteurs du numérique

Parallèlement à son action répressive, la CNIL a poursuivi sa mission d’accompagnement et de conseil des professionnels et des pouvoirs publics dans leur démarche de conformité au RGPD et à la loi Informatique et Libertés. Elle a ainsi produit en 2022 de nouveaux outils, comme des guides, des référentiels ou des recommandations, sur des thématiques variées : santé, prospection commerciale, sécurité, etc.

La CNIL a également mis à jour son MOOC Atelier RGPD, une formation gratuite et ouverte à tous sur les notions clés du RGPD. Un nouveau module inédit s’adresse plus particulièrement aux collectivités territoriales. La CNIL a également organisé une série de webinaires pour répondre aux questions des professionnels sur différents sujets liés à la protection des données personnelles.

Enfin, la CNIL a continué à informer et à protéger le grand public face aux risques liés au numérique. Elle a lancé plusieurs campagnes de sensibilisation et d’éducation au numérique. Elle a également enregistré un nouveau record d’audience sur son site web cnil.fr, avec plus de 11 millions de visites en 2022.

La CNIL face aux défis du numérique de demain

Le rapport annuel de la CNIL témoigne de l’importance et de la diversité de son action dans un contexte de transformation numérique accélérée par la crise sanitaire. La CNIL doit faire face à des défis majeurs, comme la régulation des géants du numérique, le développement de l’intelligence artificielle, ou encore la protection des données sensibles dans le domaine de la santé ou de la sécurité.

Pour relever ces défis, la CNIL dispose de plusieurs leviers, comme le renforcement de ses moyens humains et financiers, l’harmonisation de ses pratiques avec ses homologues européens, ou encore l’anticipation des évolutions technologiques et juridiques. La CNIL s’appuie également sur sa capacité d’innovation et d’expérimentation, comme en témoigne son projet de laboratoire d’éthique du numérique, qui vise à associer les citoyens et les acteurs du numérique à la réflexion sur les enjeux éthiques liés au numérique.

La CNIL entend ainsi contribuer à construire un numérique respectueux des droits et des libertés des personnes, mais aussi porteur d’opportunités et de progrès pour la société. Elle invite tous les acteurs du numérique à se mobiliser pour faire de la protection des données personnelles un atout concurrentiel et un facteur de confiance. Elle rappelle également que chaque individu a un rôle à jouer pour protéger sa vie privée et exercer ses droits face aux traitements de ses données personnelles.

Source : CNIL (1, 2)

Et vous ?

Que pensez-vous du bilan de la CNIL pour l’année 2022 ?
Quels sont les avantages et les inconvénients de l’intelligence artificielle générative ?
Comment protégez-vous vos données personnelles sur Internet ?
Quelles sont vos attentes vis-à-vis de la CNIL pour l’année 2023 ?