Selon la décision de la CNPD, des violations par l'INE dans le traitement des catégories spéciales de données personnelles, les devoirs d'information des personnes concernées et les règles applicables à l'embauche d'une entreprise pour gérer les données collectées dans les recensements sont en jeu.
Des violations ont également été envisagées concernant l'action de l'institut en matière de transferts de données vers des pays tiers et l'absence d'évaluation d'impact sur les données personnelles.
La commission comprend que l'action de l'INE reflète la pratique de cinq infractions "prévues et sanctionnées" par le RGPD, soulignant que les infractions "revêtent un degré de gravité significatif, compte tenu du nombre de personnes concernées (...), du contexte dans lequel elles ont été pratiquées, en particulier, la réponse obligatoire au recensement de 2021 et la conviction qu'elles étaient obligatoires".
La décision de la CNPD pointe du doigt l'entité responsable de la réalisation des recensements comme un " acte de négligence ", en violant le devoir de transparence et le devoir de diligence en raison du manque d'information des personnes concernées sur l'activité en question (réalisation des recensements).
La CNPD considère également que l'INE a agi avec malice en ne vérifiant pas auprès de la société qui collecterait et gérerait les données personnelles si elle ne transmettrait pas les données à des pays tiers.
Par conséquent, elle a conclu que deux infractions administratives résultaient d'une négligence, et que trois autres avaient été commises intentionnellement.
"Fraude possible"
"L'INE connaissait, et ne pouvait ignorer, le caractère contraignant de ses obligations et se satisfaisait de la possibilité d'exécuter les faits qui lui sont reprochés, pour lesquels ils sont imputés à la défenderesse comme une fraude éventuelle", indique la délibération de l'organisme datée du 02 novembre 2022.
Selon la commission, l'INE a révélé " une méconnaissance des principes et obligations prévus par le RGPD, en s'appuyant sur une intervention de l'autorité de tutelle [CNPD], au lieu de prendre l'initiative de s'assurer que l'opération de recensement était conforme à ce régime ".
Les cinq infractions ont donné lieu à cinq amendes s'élevant à 6,5 millions d'euros.
Toutefois, après avoir reconnu un "haut degré de censure du comportement du défendeur" et la nécessité d'une "sanction qui reflète la haute censure de ce comportement", l'instance a fini par révéler l'absence de relevé d'infractions par l'INE, infligeant une seule amende de 4,3 millions d'euros.
La réalisation des recensements de 2021 a été entourée de controverses après la signature du contrat avec l'entreprise Cloudflare, responsable de la sécurité du site qui recueillait les réponses aux recensements, et qui prévoyait le transfert de données personnelles vers les États-Unis d'Amérique ou d'autres pays.
La Commission nationale de protection des données a alors exigé la suspension de tout transfert de données personnelles, l'INE suspendant le contrat avec l'entreprise.