La CNIL publie son rapport d’activité 2020

La CNIL publie son rapport d’activité 2020

 

RAPPORT D’ACTIVITÉ 2020 DE LA CNIL

 

Impact de la crise sanitaire, nouvelles règles sur les cookies, cybersécurité et souveraineté numérique : dans son 41e rapport d’activité, la CNIL revient sur les temps forts de l’année et son bilan, marqué par un nombre de plaintes toujours élevé et une augmentation considérable des violations de données, trois ans après l’entrée en application du RGPD.

 

 

Les temps forts de 2020

COVID-19 : la protection des libertés et des données personnelles au cœur des débats publics

Dans le contexte de la crise sanitaire, l’utilisation des technologies de communication à distance et de dispositifs de surveillance pour essayer de ralentir l’épidémie ou pour s’adapter aux mesures de distanciation physique n’a cessé d’augmenter. Face à la multitude d’initiatives, la CNIL a su mobiliser ses deux piliers, l’accompagnement et la chaîne répressive, tout en restant à l’écoute de ses publics.

Tout au long de l’année, la CNIL a ainsi conseillé activement les pouvoirs publics afin de contribuer à garantir que la mise en œuvre des systèmes d’information sanitaires (StopCovid-TousAntiCovid, SI-DEP, Contact Covid, Vaccin Covid) soit respectueuse des droits des personnes concernées. La participation de la CNIL à la coopération européenne a également permis d’apporter des positions communes importantes, notamment sur les applications de suivi de contact ou le traitement de données de santé à des fins de recherche scientifique dans la lutte contre le virus.

Afin de répondre à un grand nombre d’interrogations des particuliers et des professionnels, la CNIL a su proposer sur son site des contenus inédits tels que ceux publiés sur la continuité pédagogique, le télétravail, la distribution de masques par les collectivités ou encore TousAntiCovid.

Par ailleurs, la CNIL a priorisé le traitement des plaintes liées à la COVID-19 ainsi que les contrôles des dispositifs mis en œuvre, et a mené des contrôles sur des sujets aussi différents que les cahiers de rappels ou l’usage des drones équipés de caméras pour surveiller le respect des mesures de confinement.

 

 

Nouvelles règles pour les cookies : un tournant pour les internautes et le secteur de la publicité en ligne

En publiant ses lignes directrices modificatives et sa recommandation le 1er octobre 2020, la CNIL a rappelé deux règles fondamentales : l’internaute doit être informé, de façon claire et synthétique de ce à quoi servent les traceurs et il doit pouvoir refuser les cookies aussi facilement que les accepter.

Cette évolution des règles applicables a été accompagnée de la publication de nombreuses fiches pour les professionnels (mettre son site en conformitéles solutions pour outils de mesure d’audiencequestions-réponses, etc.) et pour les particuliers (les changements au quotidienles conseils pour maîtriser son navigateurle logiciel CookieViz, etc.)

Le délai d’adaptation aux lignes directrices étant arrivé à son terme le 31 mars 2021, la CNIL s’assure désormais du respect de ces règles chez l’ensemble des acteurs publics et privés.

Une protection toujours plus forte des personnes dans leur quotidien numérique

En 2020, la CNIL a considérablement enrichi son offre éditoriale avec des fiches pratiques ou des conseils en lien avec l’actualité. Elle a mobilisé l’ensemble des moyens à sa disposition pour mieux communiquer auprès de ses différents publics sur les réseaux sociaux ou via son standard téléphonique.

Ainsi, près de 10 millions de visites ont été comptabilisées sur l’ensemble de ses sites web, soit une augmentation de 21 % par rapport à 2019, dont plus d’un million de consultations de la rubrique Besoin d’aide.

La CNIL a également reçu 13 585 plaintes soit 62,5 % d’augmentation depuis la mise en œuvre du RGPD. Ce chiffre, toujours élevé et constant par rapport à 2019, confirme une prise de conscience conséquente des Français vis-à-vis de leurs droits. Parmi ces plaintes, 4 528 ont été suivies d’une réponse rapide et 9 057 ont nécessité une étude plus approfondie.

 

La sécurité des données, une thématique prioritaire de contrôle de la CNIL

La CNIL a reçu, en 2020, 2 825 notifications de violation de données personnelles soit 24 % de plus qu’en 2019. Pour plus de 500 d’entre elles, l’origine est une attaque par rançongiciel, dont la CNIL a pu constater l’augmentation en 2020 et notoirement en 2021 pour des établissements de santé.

La CNIL sera particulièrement attentive, en 2021 et au-delà, au respect des règles de sécurité concernant les données de santé et dont la perte, l’altération ou l’accès non autorisé peuvent avoir des conséquences particulièrement importantes pour les personnes concernées.

Un renforcement de l’accompagnement et du conseil des professionnels et des pouvoirs publics

Si chaque organisme est responsable de sa conformité au RGPD et à la loi, la CNIL propose une boîte à outils complète pour les aider à comprendre et à appliquer les différentes règles. L’accompagnement des professionnels a été conduit à deux niveaux, avec des outils généraux et sectoriels.

Parmi les outils d’accompagnement généraux, la CNIL a notamment publié un guide des tiers autorisés et un guide pour aider les professionnels à définir des durées de conservation, ainsi que de nombreux de contenus sur les cookies et autres traceurs. D’autres contenus, sur des outils de conformité prévus par le RGPD, ont également été mis à disposition des professionnels. De nouvelles fiches explicatives pour comprendre et maîtriser les codes de conduite (pour harmoniser des pratiques au niveau d’un secteur d’activité) ou des règles d’entreprise contraignantes (politique de protection des données intra-groupe en matière de transferts de données personnelles hors de l’Union européenne), mais également la certification (d’un produit, service, processus ou système de données) sont ainsi disponibles sur cnil.fr.

La CNIL a également renforcé son accompagnement sectoriel en publiant de nouveaux référentiels, prenant en compte les exigences du RGPD, pour la gestion des cabinets médicaux et paramédicauxpour la gestion des ressources humaines ainsi qu’une consultation sur un projet de référentiel pour la gestion locative.

Concernant les pouvoirs publics, la CNIL a participé à 20 auditions parlementaires et a répondu à 8 questionnaires adressés aux parlementaires. En 2020, elle a adopté 96 avis sur des projets de texte, notamment en lien avec la crise sanitaire ou concernant les fichiers PASP, GIPASP et EASP. Sans constituer une « autorisation » ou un « refus », ces avis permettent d’éclairer les pouvoirs publics sur des enjeux Informatique et Libertés.

De nombreux contrôles et des sanctions d’un montant total de 138 millions d’euros

En 2020, la CNIL a conduit 247 contrôles :

 

82 en ligne

74 sur pièces

72 sur place

19 sur audition

 

Ces contrôles font suite à des plaintes ou des signalements (40 % des cas), sont effectués à l’initiative de la CNIL selon l’actualité (32 %) ou en lien avec les thématiques prioritaires annuelles (15 %) ou font suite à des mises en demeure ou des sanctions (3 %).

En 2020, la formation restreinte de la CNIL a prononcé 14 sanctions, dont 11 amendes d’un montant total de 138 489 300 euros (parfois accompagnées d’une injonction sous astreinte), 2 rappels à l’ordre et une injonction sous astreinte non associée à une amende. Un seul non-lieu a été prononcé.

Ces sanctions concernent des acteurs, des secteurs d’activités et des manquements très variés, et font notamment suite à une sécurité insuffisante des données ou à l’absence d’information et de consentement des personnes, en particulier concernant l’utilisation des cookies.

L’année aura également été marquée par une première sanction décidée en coopération avec les autres autorités de protection des données européennes dans le cadre de la procédure dite de « guichet unique ».

La présidente de la CNIL a par ailleurs prononcé 49 mises en demeure de se mettre en conformité, dont 3 publiques et 4 en coopération avec d’autres autorités de protection des données européennes. Elle a également prononcé 38 rappels à l’ordre et 2 avertissements, notamment suite à des plaintes.

Une coopération européenne intensifiée en 2020 :

  • plus de 1 000 dossiers de coopération européenne concernaient des plaintes ou des contrôles. La CNIL a été autorité chef de file (quand l’établissement principal de l’organisme concerné se situe en France) dans une centaine de cas et autorité concernée dans près de 400 cas.
  • 14 projets de sanctions européens ont été examinés par la CNIL, dont 6 décisions adoptées par la formation restreinte contenant des objections pertinentes et motivées ou des commentaires.

Une anticipation des enjeux pour la vie privée

Au-delà de ses missions d’accompagnement et de contrôle, la CNIL poursuit, au quotidien, son objectif d’anticipation de l’innovation technologique et de ses enjeux pour la vie privée et les libertés individuelles.

En 2020, la CNIL a notamment mené des réflexions sur le droit à la portabilité des données, avec un évènement organisé en novembre qui a contribué à la publication d’une nouvelle fiche pratique complète à l’attention des professionnels. Elle a également édité un premier livre blancÀ votre écoute,  consacré aux assistants vocaux. En réponse à la mission éthique qui lui a été confiée par la loi pour une République numérique, la CNIL a également proposé un nouveau format pour son évènement annuel « air » (avenir, innovations, révolutions) sur le thème « les mutations dans le monde du travail ».

Un « bac à sable » pour un accompagnement spécifique

Dans le cadre de sa stratégie d’accompagnement, la CNIL a lancé une première session de « bac à sable données personnelles », sous la forme d’un appel à projet dans le domaine de la santé : douze projets bénéficieront ainsi en 2021 d’un accompagnement de la CNIL, dont quatre d’un accompagnement renforcé afin d’aboutir à une solution respectueuse de la vie privée des personnes.

Une anticipation des nouveaux usages du numérique après la crise sanitaire

Dans son rapport annuel, la CNIL présente des premières pistes de réflexion pour mieux comprendre les usages du numérique pendant les différents confinements et anticiper les innovations futures.

Un futur livre blanc sur les données de paiement

Les données de paiement, leur circulation et leur protection font partie intégrante des enjeux de société. En 2020, la pandémie a remis cette question sur le devant de la scène, en accélérant certaines transformations à l’œuvre dans le domaine des paiements. La CNIL entend aborder ce sujet de manière graduée et publiera prochainement un livre blanc sur le sujet.

Des travaux de recherche sur le profil des plaignants

Le 13 avril 2021, la CNIL a publié son 8e cahier Innovation et ProspectiveScènes de la vie numérique, consacré à la protection des données au quotidien par les individus. Cette publication explore la construction historique du droit autour de la protection des données personnelles, la diversité des pratiques individuelles en la matière, les situations sociales qui déterminent le recours à la CNIL et les étapes préalables à celui-ci.

Les données, un enjeu environnemental

Le réchauffement climatique et la transition environnementale sont au cœur des défis à relever, dès aujourd’hui et dans les années à venir. Le lien entre protection des données et environnement fera l’objet de travaux prospectifs du laboratoire d’innovation numérique de la CNIL (LINC) dès 2021.



Aller au contenu principal