Rapport 2021 de la Cnil : davantage de contrôles et un record d’amendes
Dans son rapport d’activité 2021, la Commission nationale informatique et libertés (Cnil) fait état d’une augmentation des plaintes reçues et des contrôles opérés par ses services, ainsi que d’une hausse du nombre des sanctions et du montant des amendes.
Pour la Cnil, l’année 2021 aura été marquée par une activité particulièrement intense. Elle a tout d’abord enregistré, l’an passé, une nette augmentation du nombre des requêtes qui lui ont été adressées (par mail ou via son site Internet) par des personnes de plus en plus concernées par la protection de leurs données personnelles. Elle a ainsi reçu plus de 14 000 plaintes, qui ont donné lieu à près de 6 000 réponses rapides et plus de 8 000 études approfondies.
Cookies, données de santé et cybersécurité, des contrôles plus nombreux
En 2021, la stratégie de contrôle de la Commission s’est concentrée sur les cookies, les données de santé et la cybersécurité. Elle a procédé à 384 contrôles (contre 247 en 2020) et les manquements constatés l’ont amenée à prononcer 135 mises en demeure et 18 sanctions (contre 14 en 2020), pour un montant total dépassant 214 millions d’euros (contre 138 millions en 2020).
Les deux tiers des contrôles ont porté sur les cookies, qui était un axe prioritaire de son plan d’action. Après avoir laissé un délai de six mois aux acteurs du numérique pour se mettre en conformité avec les nouvelles règles sur les traceurs en ligne – refuser les cookies doit être aussi simple que les accepter –, la Cnil a lancé une vaste campagne de contrôles qui a mis à jour un grand nombre de pratiques non conformes.
En parallèle, une trentaine de contrôles sur la sécurité des données de santé ont été réalisés dans des laboratoires d’analyses médicales, des hôpitaux et auprès de prestataires utilisant ce type de données, notamment dans le cadre de la crise sanitaire. En parallèle, 22 organismes, dont 15 publics, ont fait l’objet de contrôles portant sur la cybersécurité et permis de constater de nombreux manquements et, de façon plus générale, l’insuffisance des moyens accordés à la sécurité informatique au regard des enjeux actuels. La Commission a également sanctionné le ministère de l’Intérieur pour sa mauvaise gestion du fichier automatisé des empreintes digitales et pour le recours illicite à des drones.
Pour 2022, la Cnil a choisi d’axer ses contrôles sur les transferts dans le cloud, la prospection commerciale et les outils de surveillance dans le cadre du télétravail, ainsi que les applications de smartphones et les caméras augmentées/intelligentes.
Accompagner tous les acteurs et participer aux travaux de réflexion
Pour accompagner la mise en conformité de tous les professionnels au RGPD, la Commission a continué, en 2021, d’enrichir son offre de guides sectoriels avec de nouvelles ressources destinées, notamment, au secteur associatif, aux acteurs de la santé et de l’assurance. Elle a également assuré sa mission d’accompagnement des pouvoir publics en participant à une vingtaine d’auditions parlementaires et via la production de plus d’une centaine d’avis sur des projets de lois et de décrets.
Au niveau européen, la Cnil a activement participé aux travaux visant à renforcer la souveraineté numérique de l’UE ainsi qu’aux débats et négociations sur le Digital Services Act (DSA), le Digital Markets Act (DMA), le Data Governance Act (DGA) et la réglementation de l’intelligence artificielle.
Au niveau international, la décision de la Cour justice de l’UE concernant le Privacy Shield, qui encadrait le transfert de données de l’UE vers les États-Unis, a amené la Cnil à s’intéresser et lancer des contrôles sur des outils collaboratifs proposés par des éditeurs américains dans le domaine de l’éducation. Elle s’est également penchée sur la protection des données personnelles (dont les données de santé) dans les partenariats, en matière de cloud de confiance, en raison des risques d’accès illégal par des autorités étrangères.
Bacs à sable réglementaires « données personnelles »
2021 a aussi été l’année de la mise en place par la Cnil de son premier « bac à sable » réglementaire réservé aux données personnelles pour la santé et qui lui a permis d’accompagner douze projets. Cette année, la Commission entend mettre en place un nouveau « bac à sable », dédié cette fois aux outils numériques pour le secteur éducatif. Un « bac à sable » permet de tester une technologie ou un service innovant sans avoir à respecter l’ensemble du cadre réglementaire, pendant une durée qui peut aller jusqu’à deux ans, et de bénéficier d’un accompagnement spécifique. Ce dispositif s’intègre dans la stratégie « start up », lancée par la Cnil en 2017, visant notamment à favoriser le développement de solutions respectueuses de la vie privée.
Cookie walls : la Cnil a mis à jour ses lignes directrices
La Commission nationale informatique et libertés a publié, le 16 mai dernier, la liste des critères permettant d'évaluer la légalité des cookie walls – ces fenêtres qui s’affichent pour demander aux internautes d’accepter le dépôt de traceurs et qui peuvent empêcher ceux qui ont refusé d’accéder au contenu sans payer. En 2020, le Conseil d’État avait jugé que la Commission avait outrepassé sa fonction en instaurant une interdiction totale des cookie walls dans ses lignes directrices, et c’est pourquoi elle procède à une mise à jour. Il en résulte qu’un micro-paiement ou la souscription à un abonnement peut être une alternative « satisfaisante » au dépôt de cookies pour les internautes qui ont exprimé leur refus, sous réserve que le tarif soit « raisonnable ». En ce qui concerne l’obligation de créer un compte utilisateur, celle-ci doit être justifiée au regard de la finalité – ce qui est le cas, par exemple, pour une souscription d’abonnement – l'éditeur doit veiller à limiter la collecte des données aux seules informations nécessaires.