La CNIL publie son rapport d’activité 2021
Renouvellement de la politique d’accompagnement, mobilisation accrue sur la cybersécurité et renforcement de l’action répressive : l’année 2021 aura été marquée par une activité particulièrement intense et une sollicitation croissante de la CNIL par tous les acteurs de la société.
Une politique d’accompagnement renouvelée
Un des objectifs de la CNIL est d’apporter de la sécurité juridique à l’ensemble des professionnels vis-à-vis du RGPD, quel que soit leur secteur d’activité et leur taille. Pour les accompagner, elle a ainsi publié de nouveaux guides et ressources sectoriels sur son site web en 2021, notamment pour le secteur associatif, de l’assurance ou de la santé.
Ces nouveaux outils s’ajoutent à une offre déjà conséquente que la CNIL enrichit et met à jour chaque année dans le but de permettre à tous les organismes de respecter au mieux la vie privée de leurs clients, utilisateurs ou administrés.
En parallèle, elle a développé des outils pour permettre le développement d’une innovation numérique vertueuse, notamment au travers de sa stratégie « start-up » déployée dès 2017. Cela s’est traduit en pratique par la mise en place, cette année, d’un premier bac à sable données personnelles pour la santé. Grâce à ce dispositif novateur, 12 projets ont été accompagnés par la CNIL, dont 4 de manière renforcée.
L’émergence permanente de nouvelles technologies et l’omniprésence des traitements de données personnelles dans tous les champs de la vie sont les défis auxquels la CNIL sera encore confrontée en 2022.
Marie-Laure Denis,
présidente de la CNIL
Dans le cadre de ses missions, la CNIL accompagne également les pouvoir publics. Pour éclairer leurs décisions, elle a ainsi répondu à 22 auditions parlementaires et rendu 121 avis sur des projets de lois et de décrets. 16 de ces avis concernaient des traitements de données mis en œuvre dans le cadre de la lutte contre l’épidémie de COVID-19. La CNIL a par ailleurs traité 576 dossiers d’autorisations en santé au cours de l’année 2021 et délivré 54 autorisations de recherche sur la COVID-19.
Des contrôles plus nombreux et une réponse répressive proportionnée et dissuasive
En 2021, la CNIL a reçu 14 143 plaintes et en a clôturé 12 522. Elle a procédé à 384 contrôles et les manquements constatés à l’occasion de certaines des instructions menées ont conduit à prononcer 135 mises en demeure et 18 sanctions, pour un montant cumulé d’amendes jamais atteint qui dépasse les 214 millions d’euros.
89 des 135 mises en demeure ont porté sur les cookies, l’une des thématiques prioritaires fixées par la CNIL pour cette année. Après un délai d’adaptation de six mois laissé aux acteurs du numérique pour mettre leurs pratiques en conformité avec les nouvelles règles sur les cookies, la CNIL a ainsi déclenché une campagne de contrôles inédite qui a permis de mettre au jour de nombreuses pratiques non conformes.
En plus de ces mises en demeure, des sanctions ont été prises pour les cas les plus graves, concernant des acteurs qui ne permettaient pas à des millions d’internautes de refuser les cookies aussi simplement que de les accepter.
En parallèle, la CNIL a également poursuivi ses activités de contrôle sur la sécurité des données de santé : elle a ainsi conduit 30 nouvelles missions de contrôle auprès de laboratoires d’analyses médicales, d’hôpitaux, de prestataires et de data brokers en données de santé, en particulier sur les traitements en lien avec l’épidémie de COVID-19. Certaines de ces procédures sont toujours en cours d’instruction.
Elle a également porté une attention particulière à la cybersécurité du web français en contrôlant 22 organismes dont 15 publics. Lors de ses enquêtes, la CNIL a notamment constaté des suites cryptographiques obsolètes rendant des sites web vulnérables aux attaques, des insuffisances concernant les mots de passe et, plus généralement, des moyens insuffisants au regard des enjeux de sécurité actuels.
5 037
notifications de violations de données reçues en 2021
+ 79 % par rapport à 2020
Enfin, la CNIL a prononcé deux sanctions publiques à l’encontre du ministère de l’Intérieur, concernant l’utilisation illicite de drones et une mauvaise gestion du fichier automatisé des empreintes digitales (FAED).
Des transferts de données et la construction d’une souveraineté numérique au centre des préoccupations européennes
La CNIL s’est impliquée dans le renforcement de la souveraineté numérique de l’UE et a notamment participé aux travaux du Comité européen de la protection des données consacrés aux législations européennes sur la gouvernance des données (DGA), sur les services numériques (DSA), sur les marchés numériques (DMA) sur l’intelligence artificielle (IA).
Au niveau mondial, la CNIL a été co-auteur de 2 résolutions importantes dans le cadre de la 43e réunion de l’Assemblée mondiale de la vie privée (GPA). La première concerne l’encadrement de l’accès par les gouvernements aux données détenues par le secteur privé. La seconde porte sur la protection des droits numériques des mineurs et fait écho aux 8 recommandations établies sur ce sujet par la CNIL en juin 2021.
Enfin, l’arrêt « Schrems II » de la Cour de justice de l’Union européenne, qui a invalidé le cadre permettant le transfert de données de l’Union européenne (UE) vers les États-Unis, a eu d’importantes répercussions sur la régulation des données. La CNIL a notamment alerté sur les risques d’accès illégaux par les autorités américaines aux données stockées dans l’UE concernant les « suites collaboratives pour l’éducation » et initié des contrôles sur la base de plaintes. Elle a également rencontré tout au long de l’année les acteurs ayant annoncé des projets de partenariat en matière de cloud de confiance dont le développement ne peut se faire sans intégrer la protection des données personnelles, dont les données de santé, et les mesures spécifiques à mettre en place pour écarter tout risque d’accès illégal par des autorités étrangères.
2022 : la poursuite d’une stratégie de régulation collaborative et proche du terrain
Plus que jamais, c’est le respect d’un équilibre entre accompagnement de la transformation numérique et protection des droits des personnes qui permettra de relever les défis soulevés par la numérisation de notre environnement quotidien.
Marie-Laure Denis, présidente de la CNIL
EdTech : deux approches inédites et complémentaires
À la suite d’une édition 2021 sur les enjeux éthiques de l’ouverture des données, la CNIL interrogera en 2022 les mutations en cours ou à venir du secteur de l’éducation. Le prochain évènement air se concentrera sur les outils numériques pour l’éducation sous la forme de débats publics. Ce sera l’occasion d’échanger sur les nouveaux outils de learning analytics, de visioconférence et, plus généralement, sur les droits des mineurs.
Forte du succès de la première édition, la CNIL mettra également en place un nouveau bac à sable sur les outils numériques pour le secteur éducatif. Il permettra aux acteurs concernés de bénéficier d’un accompagnement en profondeur, dès les premières étapes de leur projet, afin de proposer des outils respectueux de la vie privée.
Une première conférence académique organisée par la CNIL
2022 sera également marqué par l’organisation d’une première conférence académique sur la protection des données. Parce que la recherche scientifique est un soutien important pour les régulateurs du numérique, le Laboratoire d’innovation numérique de la CNIL (LINC) organisera, le 28 juin prochain, le Privacy Research Day, qui lui permettra de nouer des partenariats avec des chercheurs dont les travaux peuvent l’éclairer dans ses missions.
Télécharger le rapport d’activité 2021