blog
Bilan de l’action de la CNIL en 2020 et projections en matière de contrôle et de répression pour 2021
20 mai 2021

Le rapport d’activité 2020 publié par la CNIL en début de semaine offre une vue d’ensemble de la mission d’accompagnement des différents acteurs dans le cadre de leur mise en conformité au regard notamment de la règlementation en matière de données personnelles effectuée par cette dernière au cours de l’année passée.

L’autorité de protection des données y expose ses projets pour l’année 2021, comme par exemple l’élaboration d’un livre blanc sur les données de paiement ou encore la mise en œuvre de travaux prospectifs du laboratoire d’innovation numérique de la CNIL (LINC) en vue de concilier protection des données et défense de l’environnement.

Ce bilan nous donne également de précieuses informations concernant l’étendue de l’action de contrôle et de répression de la commission.

La plupart du temps, les contrôles de la CNIL sont effectués à la suite de la réception de plaintes (40% des contrôles en 2020). Ceux menés spontanément par l’autorité (32%) sont généralement en lien avec l’actualité (ex : le recours à des drones par les forces de l’ordre ou une atteinte à des données dans un établissement de santé). Certains contrôles permettent un suivi d’une procédure de mise en demeure ou de sanction (3%).

En 2020, dans 10% des cas, la CNIL a usé de son pouvoir de vérification dans le cadre de la lutte contre le COVID-19 (ex : lancement de l’application gouvernementale StopCovid).

Enfin, la CNIL définit chaque année plusieurs thématiques prioritaires annuelles, lesquelles ont représenté 15% de ses contrôles l’année dernière.  

Au cours de l’année 2020, 247 contrôles ont été effectués. La CNIL a prononcé 14 sanctions dont 11 amendes, parfois accompagnées d’une injonction sous astreinte, deux rappels à l’ordre et une injonction sous astreinte non associée à une amende.

Dans le plus sévère des scénarios, l’amende administrative peut s’élever jusqu’à 10 000 000 EUR ou jusqu’à 2 % du chiffre d’affaires annuel mondial total (article 83 du RGPD).

Bien qu’il s’agisse là d’un risque maximal qui concerne les manquements les plus graves, l’action de vérification menée par la CNIL vise tous types de secteurs d’activités et des manquements très variés.

2021 : quel est le programme ?

Sur la base de cet état des lieux de 2020, la CNIL a déterminé trois secteurs qui seront visés en priorité par ses actions de mise en conformité en 2021. Il s’agit des thématiques suivantes :

  • Les cookies

L’année 2020 fut marquée par le prononcé d’amendes aux montants inédits en matière protection des données personnelles à l’échelle de l’Union européenne (100 millions d’euros à l’encontre de Google et 35 millions à l’encontre d’Amazon), en raison de manquements à la règlementation relative aux cookies.

Tirant les enseignements du Règlement général sur la protection des données (UE 2016/679), dit « RGPD », et de la Directive « ePrivacy » de 2002 (2002/58/CE), la CNIL a émis en octobre 2020 des recommandations et lignes directrices relatives à l’utilisation des cookies sur Internet. Ces nouvelles exigences répondent à deux grands objectifs : informer les internautes correctement et obtenir leur consentement préalable à l’utilisation des cookies considérés non nécessaires au service concerné.

Une période de 6 mois a été accordée aux acteurs concernés pour se mettre en conformité. Ainsi, depuis avril 2021, les cookies figurent parmi les thématiques cibles de la CNIL dans le cadre de son action de contrôle.

  • La souveraineté des données

Plusieurs événements majeurs de l’année 2020 ont placé la question de la souveraineté numérique au cœur des préoccupations de la CNIL. D’abord, l’invalidation du Privacy Shield qui encadrait le transfert de données entre l’Europe et les Etats-Unis, mais aussi l’engagement du gouvernement de transférer l’hébergement de la plateforme nationale des données de santé Health Data Hub vers une solution sécurisée dans un délai de deux ans et les différentes initiatives législatives européennes telles que le Digital Governance Act, le Digital Services Act et le Digital Markets Act.

Selon la CNIL, la mise en place d’un hébergement des données dans un cloud souverain constituerait la solution de protection la plus efficace face aux législations étrangères parfois trop intrusives. Elle précise dans son rapport que cette démarche ne se limitera pas aux données de santé.

  • La cybersécurité

En 2020, la CNIL a enregistré un nombre record des notifications de violations de données personnelles, en progression de 24 % par rapport à 2019. Parmi ces notifications, il est constaté une nette augmentation des cas de rançongiciel.

En parallèle, l’autorité pointe dans son rapport l’impact considérable qu’a eu la crise sanitaire sur les traitements de données personnelles effectués en 2020, les différents acteurs publics et privés ayant eu recours à des nouvelles technologies parfois intrusives pour la vie privée et impliquant des données sensibles (ex : applications de suivi de contacts et dispositifs de caméras thermiques à l’entrée de locaux professionnels) et les pratiques numériques ayant été révolutionnées par la mise en place massive du télétravail, de la télémédecine et du téléenseignement. 

En 2020, ces observations a conduit la CNIL à porter une attention particulière au respect des exigences de recueil du consentement et au niveau de sécurité mis en place.

Dans ce cadre, à la suite des signalements de violations de données qui lui ont été adressés cette année-là, la CNIL a procédé à 56 vérifications qui ont permis de faire cesser les atteintes à la sécurité des données.

En 2021 et au-delà, la CNIL s’engage à œuvrer davantage au respect des règles de sécurité.

Pour en savoir plus : https://www.cnil.fr/sites/default/files/atoms/files/cnil_-_41e_rapport_annuel_-_2020.pdf

blog
Bilan de l’action de la CNIL en 2020 et projections en matière de contrôle et de répression pour 2021
20 May 2021

Le rapport d’activité 2020 publié par la CNIL en début de semaine offre une vue d’ensemble de la mission d’accompagnement des différents acteurs dans le cadre de leur mise en conformité au regard notamment de la règlementation en matière de données personnelles effectuée par cette dernière au cours de l’année passée.

L’autorité de protection des données y expose ses projets pour l’année 2021, comme par exemple l’élaboration d’un livre blanc sur les données de paiement ou encore la mise en œuvre de travaux prospectifs du laboratoire d’innovation numérique de la CNIL (LINC) en vue de concilier protection des données et défense de l’environnement.

Ce bilan nous donne également de précieuses informations concernant l’étendue de l’action de contrôle et de répression de la commission.

La plupart du temps, les contrôles de la CNIL sont effectués à la suite de la réception de plaintes (40% des contrôles en 2020). Ceux menés spontanément par l’autorité (32%) sont généralement en lien avec l’actualité (ex : le recours à des drones par les forces de l’ordre ou une atteinte à des données dans un établissement de santé). Certains contrôles permettent un suivi d’une procédure de mise en demeure ou de sanction (3%).

En 2020, dans 10% des cas, la CNIL a usé de son pouvoir de vérification dans le cadre de la lutte contre le COVID-19 (ex : lancement de l’application gouvernementale StopCovid).

Enfin, la CNIL définit chaque année plusieurs thématiques prioritaires annuelles, lesquelles ont représenté 15% de ses contrôles l’année dernière.  

Au cours de l’année 2020, 247 contrôles ont été effectués. La CNIL a prononcé 14 sanctions dont 11 amendes, parfois accompagnées d’une injonction sous astreinte, deux rappels à l’ordre et une injonction sous astreinte non associée à une amende.

Dans le plus sévère des scénarios, l’amende administrative peut s’élever jusqu’à 10 000 000 EUR ou jusqu’à 2 % du chiffre d’affaires annuel mondial total (article 83 du RGPD).

Bien qu’il s’agisse là d’un risque maximal qui concerne les manquements les plus graves, l’action de vérification menée par la CNIL vise tous types de secteurs d’activités et des manquements très variés.

2021 : quel est le programme ?

Sur la base de cet état des lieux de 2020, la CNIL a déterminé trois secteurs qui seront visés en priorité par ses actions de mise en conformité en 2021. Il s’agit des thématiques suivantes :

  • Les cookies

L’année 2020 fut marquée par le prononcé d’amendes aux montants inédits en matière protection des données personnelles à l’échelle de l’Union européenne (100 millions d’euros à l’encontre de Google et 35 millions à l’encontre d’Amazon), en raison de manquements à la règlementation relative aux cookies.

Tirant les enseignements du Règlement général sur la protection des données (UE 2016/679), dit « RGPD », et de la Directive « ePrivacy » de 2002 (2002/58/CE), la CNIL a émis en octobre 2020 des recommandations et lignes directrices relatives à l’utilisation des cookies sur Internet. Ces nouvelles exigences répondent à deux grands objectifs : informer les internautes correctement et obtenir leur consentement préalable à l’utilisation des cookies considérés non nécessaires au service concerné.

Une période de 6 mois a été accordée aux acteurs concernés pour se mettre en conformité. Ainsi, depuis avril 2021, les cookies figurent parmi les thématiques cibles de la CNIL dans le cadre de son action de contrôle.

  • La souveraineté des données

Plusieurs événements majeurs de l’année 2020 ont placé la question de la souveraineté numérique au cœur des préoccupations de la CNIL. D’abord, l’invalidation du Privacy Shield qui encadrait le transfert de données entre l’Europe et les Etats-Unis, mais aussi l’engagement du gouvernement de transférer l’hébergement de la plateforme nationale des données de santé Health Data Hub vers une solution sécurisée dans un délai de deux ans et les différentes initiatives législatives européennes telles que le Digital Governance Act, le Digital Services Act et le Digital Markets Act.

Selon la CNIL, la mise en place d’un hébergement des données dans un cloud souverain constituerait la solution de protection la plus efficace face aux législations étrangères parfois trop intrusives. Elle précise dans son rapport que cette démarche ne se limitera pas aux données de santé.

  • La cybersécurité

En 2020, la CNIL a enregistré un nombre record des notifications de violations de données personnelles, en progression de 24 % par rapport à 2019. Parmi ces notifications, il est constaté une nette augmentation des cas de rançongiciel.

En parallèle, l’autorité pointe dans son rapport l’impact considérable qu’a eu la crise sanitaire sur les traitements de données personnelles effectués en 2020, les différents acteurs publics et privés ayant eu recours à des nouvelles technologies parfois intrusives pour la vie privée et impliquant des données sensibles (ex : applications de suivi de contacts et dispositifs de caméras thermiques à l’entrée de locaux professionnels) et les pratiques numériques ayant été révolutionnées par la mise en place massive du télétravail, de la télémédecine et du téléenseignement. 

En 2020, ces observations a conduit la CNIL à porter une attention particulière au respect des exigences de recueil du consentement et au niveau de sécurité mis en place.

Dans ce cadre, à la suite des signalements de violations de données qui lui ont été adressés cette année-là, la CNIL a procédé à 56 vérifications qui ont permis de faire cesser les atteintes à la sécurité des données.

En 2021 et au-delà, la CNIL s’engage à œuvrer davantage au respect des règles de sécurité.

Pour en savoir plus : https://www.cnil.fr/sites/default/files/atoms/files/cnil_-_41e_rapport_annuel_-_2020.pdf