CNIL : 225 agents, 20 millions de budget annuel, 29 condamnations 2019 - mi-octobre 2022
AEPD : 195 agents, 16 millions de budget annuel, 503 condamnations 2019 - mi-octobre 2022
AEPD = CNIL espagnole.
Ces derniers mois, Aeris compare beaucoup ces deux Autorités de Protection des Données personnelles (APD). Je doutais un peu des chiffres présentés, car, dans son rapport annuel 2021, la CNIL déclare 18 sanctions dont 15 amendes, soit la moitié du chiffre d'Aeris. 14 en 2020. 8 en 2019. Etc.
D'abord, on note que ça fluctue rapido chez Aeris : 14 jours après les chiffres ci-dessus, la CNIL a perdu 25 agents et 12 condamnations (sans compter que 2 par an, ça ne fait pas 17 en 4 ans)… Avant de les retrouver quelques jours plus tard avec, en sus, 14 sanctions supplémentaires côté AEPD.
Ensuite, je m'interroge sur le référentiel utilisé. Depuis 2019, CNIL = 40 sanctions, AEPD = 715, d'après un premier. 55 / 168 d'après un deuxième. 31 / 531 d'après un troisième. Faudrait savoir. Qui est le mieux informé ? Tous ont-ils la même définition de ce qu'est une sanction ? Je constate qu'aucun correspond aux chiffres consignés par la CNIL dans ses rapports annuels, même si l'on prend uniquement les amendes…
Enfin, je m'interroge :
Je ne défends pas la CNIL, je déplore aussi sa lenteur, sa passivité (choix de la pédagogie, des mises en demeure, etc.), et son inaction apparentes bien avant l’entrée en vigueur du RGPD, mais, vu mes questionnements ci-dessus, je reste à convaincre.
Voir aussi l'analyse et les graphiques de David Libeau. Taux de plaintes inadmissibles : 41,35 % (CNIL) contre 56,48 %. Taux de sanction : 2,39 % (CNIL) contre 9,67 %. Taux d'amendes parmi les sanctions : 7,58 % (CNIL) contre 44,10 %. Plusieurs des biais soulevés ci-dessus ne sont toujours pas levés, mais c'est intéressant.