La CNIL publie son rapport
d’activité 2020
18
mai 2021
Impact de la crise sanitaire, nouvelles
règles sur les cookies, cybersécurité et souveraineté numérique : dans son
41e rapport d’activité, la CNIL revient sur les
temps forts de l’année et son bilan, marqué par un nombre de plaintes toujours
élevé et une augmentation considérable des violations de données, trois ans
après l’entrée en application du RGPD.


Les temps forts de 2020
COVID-19 : la protection des
libertés et des données personnelles au cœur des débats publics
Dans le contexte de la crise sanitaire,
l’utilisation des technologies de communication à distance et de dispositifs de
surveillance pour essayer de ralentir l’épidémie ou pour s’adapter aux mesures
de distanciation physique n’a cessé d’augmenter. Face à la multitude
d’initiatives, la CNIL a su mobiliser ses deux piliers, l’accompagnement et la
chaîne répressive, tout en restant à l’écoute de ses publics.
Tout au long de l’année, la CNIL a ainsi
conseillé activement les pouvoirs publics afin de contribuer à garantir que la
mise en œuvre des systèmes d’information sanitaires (StopCovid-TousAntiCovid,
SI-DEP, Contact Covid, Vaccin Covid) soit respectueuse des droits des personnes
concernées. La participation de la CNIL à la coopération européenne a également
permis d’apporter des positions communes importantes, notamment sur les
applications de suivi de contact ou le traitement de données de santé à des
fins de recherche scientifique dans la lutte contre le virus.
Afin de répondre à un grand nombre
d’interrogations des particuliers et des professionnels, la CNIL a su proposer
sur son site des
contenus inédits tels que ceux
publiés sur la continuité pédagogique, le télétravail, la distribution de
masques par les collectivités ou encore TousAntiCovid.
Par ailleurs, la CNIL a priorisé le
traitement des plaintes liées à la COVID-19 ainsi que les contrôles des
dispositifs mis en œuvre, et a mené des contrôles sur des sujets aussi
différents que les cahiers de rappels ou l’usage des drones équipés de caméras pour
surveiller le respect des mesures de confinement.

Nouvelles règles pour les cookies :
un tournant pour les internautes et le secteur de la publicité en ligne
En publiant ses lignes directrices modificatives et sa recommandation
le 1er octobre
2020, la CNIL a rappelé deux règles
fondamentales : l’internaute doit être informé, de façon claire et
synthétique de ce à quoi servent les traceurs et il doit pouvoir refuser les
cookies aussi facilement que les accepter.
Cette évolution des règles applicables a
été accompagnée de la publication de nombreuses fiches pour les professionnels (mettre son site en conformité, les solutions pour outils de mesure d’audience, questions-réponses, etc.) et pour les particuliers (les changements au quotidien, les conseils pour maîtriser son navigateur, le logiciel CookieViz, etc.)
Le délai d’adaptation aux lignes
directrices étant arrivé à son terme le 31 mars 2021, la CNIL s’assure
désormais du respect de ces règles chez l’ensemble des acteurs publics et
privés.
Une protection toujours plus forte des
personnes dans leur quotidien numérique
En 2020, la CNIL a considérablement
enrichi son offre éditoriale avec des fiches pratiques ou des conseils en lien
avec l’actualité. Elle a mobilisé l’ensemble des moyens à sa disposition pour
mieux communiquer auprès de ses différents publics sur les réseaux sociaux ou
via son standard téléphonique.
Ainsi, près de 10 millions de visites ont été comptabilisées sur l’ensemble de ses
sites web, soit une augmentation de 21 % par rapport à 2019, dont plus d’un million de consultations de la rubrique Besoin
d’aide.
La CNIL a également reçu 13 585
plaintes soit 62,5 % d’augmentation depuis la mise en œuvre du RGPD. Ce
chiffre, toujours élevé et constant par rapport à 2019, confirme une prise de
conscience conséquente des Français vis-à-vis de leurs droits. Parmi ces
plaintes, 4 528 ont été suivies d’une réponse rapide et 9 057 ont
nécessité une étude plus approfondie.


LA SÉCURITÉ DES DONNÉES, UNE
THÉMATIQUE PRIORITAIRE DE CONTRÔLE POUR LA CNIL
La CNIL a reçu, en 2020, 2 825
notifications de violation de données personnelles soit
24 % de plus qu’en 2019. Pour plus de 500 d’entre elles, l’origine est
une attaque par rançongiciel, dont la CNIL a pu constater l’augmentation en 2020
et notoirement en 2021 pour des établissements de santé.
La CNIL sera particulièrement attentive, en 2021 et
au-delà, au respect des règles de sécurité concernant les données de santé et
dont la perte, l’altération ou l’accès non autorisé peuvent avoir des
conséquences particulièrement importantes pour les personnes concernées.
Un renforcement de l’accompagnement et
du conseil des professionnels et des pouvoirs publics
Si chaque organisme est responsable de
sa conformité au RGPD et à la loi, la CNIL propose une boîte à outils complète
pour les aider à comprendre et à appliquer les différentes règles.
L’accompagnement des professionnels a été conduit à deux niveaux, avec des
outils généraux et sectoriels.
Parmi les outils d’accompagnement
généraux, la CNIL a notamment publié un guide des tiers autorisés et un guide pour aider les professionnels
à définir des durées de conservation, ainsi que de nombreux de contenus sur les cookies et autres traceurs. D’autres contenus, sur des outils de conformité
prévus par le RGPD, ont également été mis à disposition des professionnels. De
nouvelles fiches explicatives pour comprendre et maîtriser les codes
de conduite (pour harmoniser des pratiques au
niveau d’un secteur d’activité) ou des règles d’entreprise contraignantes (politique de protection des données
intra-groupe en matière de transferts de données personnelles hors de l'Union
européenne), mais également la certification (d’un produit, service, processus ou système de
données) sont ainsi disponibles sur cnil.fr.
La CNIL a également renforcé son
accompagnement sectoriel en publiant de nouveaux référentiels, prenant en
compte les exigences du RGPD, pour la gestion des cabinets médicaux et paramédicaux, pour la gestion des ressources humaines ainsi qu’une consultation sur un projet de
référentiel pour la gestion locative.
Concernant les pouvoirs publics, la CNIL
a participé à 20 auditions parlementaires et a répondu
à 8 questionnaires adressés aux parlementaires. En 2020, elle a adopté 96
avis sur des projets de texte,
notamment en lien avec la crise sanitaire ou concernant les fichiers PASP,
GIPASP et EASP. Sans constituer une « autorisation » ou un
« refus », ces avis permettent d’éclairer les pouvoirs publics sur
des enjeux Informatique et Libertés.
De nombreux contrôles et des sanctions
d’un montant total de 138 millions d'euros
En 2020, la CNIL a conduit 247 contrôles :
82
en ligne
|
74
sur pièces
|
72
sur place
|
19
sur
audition
|
Ces contrôles font suite à des plaintes ou des signalements
(40 % des cas), sont effectués à l’initiative de la CNIL selon l’actualité
(32 %) ou en lien avec les thématiques prioritaires annuelles (15 %)
ou font suite à des mises en demeure ou des sanctions (3 %).
En 2020, la formation restreinte de la
CNIL a prononcé 14 sanctions,
dont 11 amendes d’un montant total de 138 489 300
euros (parfois accompagnées d’une
injonction sous astreinte), 2 rappels à l’ordre et une injonction sous
astreinte non associée à une amende. Un seul non-lieu a été prononcé.
Ces sanctions concernent des acteurs, des secteurs d’activités et
des manquements très variés, et font notamment suite à une sécurité
insuffisante des données ou
à l’absence d’information et
de consentement des personnes, en particulier concernant l’utilisation des cookies.
L’année aura également été marquée par
une première sanction décidée en coopération avec les autres autorités de protection
des données européennes dans le cadre de la procédure dite de « guichet
unique ».
La présidente de la CNIL a par ailleurs
prononcé 49 mises en demeure de se mettre en conformité, dont 3 publiques et
4 en coopération avec d’autres autorités de protection des données européennes.
Elle a également prononcé 38
rappels à l’ordre et 2 avertissements,
notamment suite à des plaintes.
Une coopération européenne intensifiée
en 2020 :
- plus de
1 000 dossiers de coopération européenne concernaient des plaintes ou
des contrôles. La CNIL a été autorité chef de file (quand l’établissement principal de l’organisme concerné se
situe en France) dans une centaine de cas et autorité concernée dans près
de 400 cas.
- 14 projets
de sanctions européens ont été examinés par la CNIL, dont 6 décisions
adoptées par la formation restreinte contenant des objections pertinentes et
motivées ou des commentaires.
Une anticipation des enjeux pour la vie
privée
Au-delà de ses missions d’accompagnement
et de contrôle, la CNIL poursuit, au quotidien, son objectif d’anticipation de
l’innovation technologique et de ses enjeux pour la vie privée et les libertés
individuelles.
En 2020, la CNIL a notamment mené des
réflexions sur le droit à la portabilité des données, avec un évènement organisé en novembre qui a contribué à la publication d’une nouvelle fiche pratique complète à l’attention des
professionnels. Elle a également édité un premier livre blanc, À votre écoute, consacré aux
assistants vocaux. En réponse à la mission éthique qui lui a été confiée par la
loi pour une République numérique, la CNIL a également proposé un nouveau
format pour son évènement annuel « air » (avenir, innovations,
révolutions) sur le thème « les mutations dans le monde du travail ».
Un « bac à sable » pour un accompagnement
spécifique
Dans le cadre de sa stratégie
d’accompagnement, la CNIL a lancé une première session de « bac
à sable données personnelles »,
sous la forme d’un appel à projet dans le domaine de la santé : douze projets bénéficieront ainsi en
2021 d’un accompagnement de la CNIL,
dont quatre d’un accompagnement renforcé afin d’aboutir à une solution
respectueuse de la vie privée des personnes.
Une anticipation des nouveaux usages du
numérique après la crise sanitaire
Dans son rapport annuel, la CNIL
présente des premières pistes de réflexion pour mieux comprendre les usages du
numérique pendant les différents confinements et anticiper les innovations
futures.
Un futur livre blanc sur les données de
paiement
Les données de paiement, leur
circulation et leur protection font partie intégrante des enjeux de société. En
2020, la pandémie a remis cette question sur le devant de la scène, en
accélérant certaines transformations à l’œuvre dans le domaine des paiements.
La CNIL entend aborder ce sujet de manière graduée et publiera prochainement un
livre blanc sur le sujet.
Des travaux de recherche sur le profil
des plaignants
Le 13 avril 2021, la CNIL a publié son 8e cahier Innovation et
Prospective, Scènes de la vie numérique,
consacré à la protection des données au quotidien par les individus. Cette
publication explore la construction historique du droit autour de la protection
des données personnelles, la diversité des pratiques individuelles en la
matière, les situations sociales qui déterminent le recours à la CNIL et les
étapes préalables à celui-ci.
Les données, un enjeu environnemental
Le réchauffement climatique et la
transition environnementale sont au cœur des défis à relever, dès aujourd’hui
et dans les années à venir. Le lien entre protection des données et
environnement fera l’objet de travaux prospectifs du laboratoire d’innovation
numérique de la CNIL (LINC) dès 2021.
Document
reference
|