La Cnil a livré le rapport annuel de ses activités en mettant en avant différents éléments. Les plaintes ont atteint des records en 2021, tout comme les notifications de violation de données en lien avec des cyberattaques. Le régulateur entend aussi continuer son rôle d’accompagnement et de pédagogie autour du RGPD et d’autres sujets.
Après deux ans de présentation à distance, pandémie oblige, Marie-Laure Denis, la présidente de la CNIL a présenté le rapport annuel 2022 de la Commission. Portant sur les activités de l’année précédente, elle a jugé 2021 comme « intense ». Et les chiffres lui donnent raison avec un nombre de plaintes qui atteint le record de 14 143 plaintes qui ont conduit à 384 contrôles, 135 mises en demeure et des sanctions pour un montant global de 214 millions d’euros. Pour expliquer ce fort niveau de plaintes, Xavier Delporte, ancien chef du service de l’exercice des droits et des plaintes à Cnil, souligne « l’effet RGPD se poursuit » et de préciser le top 3 des réclamations, « l’effacement des données sur Internet, la prospection via les mails ou les mobiles, la surveillance des salariés notamment à travers la vidéo ».
La cybersécurité et les cookies mobilisent la Cnil en 2021
Toujours en termes d’intensité, les équipes de la Cnil ont été fortement mobilisés autour des sujets de cybersécurité et en particulier des notifications de violation de données. En 2021, plus de 5000 notifications ont été adressées, soit une flambée de 79% par rapport à 2020. « Il s’agit d’une prise de conscience de cette obligation par les entreprises et organisations à mettre aussi en parallèle avec une forte augmentation des cyberattaques », glisse Armand Heslot, chef du service de l’expertise technologique de la Cnil. Ces attaques ont généré 3 000 notifications (+128% par rapport à 2020) et 43% d’entre elles sont liées à des rançongiciels. Pour le responsable, « tous les secteurs et le type d’entreprise, même si en 2021, le secteur de la santé a été très attaqué dans le contexte de la crise sanitaire ».
Un autre domaine a mobilisé la Cnil l’année passée : les cookies. « Il y a eu une clarification du cadre juridique en menant des discussions avec l’ensemble des acteurs, une période transitoire pour se mettre en conformité, une campagne de contrôles, 89 mises en demeure et des sanctions financières », indique Marie-Laure Denis. Bien évidemment, l’amende de 210 M€ infligée à Facebook et à Google en janvier dernier montre l’impact de la réglementation sur ce sujet. Les deux acteurs ont été obligés d’intégrer dans leur page sur les cookies, un bouton « refuser les cookies » pour se mettre en conformité. Une chose est sûre la méthodologie utilisée pour les cookies sera déclinée sur les prochains travaux de la Cnil pour 2022-2024, à savoir « les caméras augmentées ou dites intelligentes, la collecte des données par les applications mobiles et le transfert des données dans le cloud », énonce la présidente.
Google Analytics, Clearview AI et accompagnement renforcé au programme
L’autorité administrative indépendante a aussi évoqué des sujets qui vont faire parler dans les prochains mois. Ainsi sur Google Analytics, la Cnil a mis plusieurs sites en demeure de cesser d’utiliser ce service. « Il y a eu 3 plaintes et la mise en demeure laissait 1 mois renouvelable pour se mettre en conformité », observe Marie-Laure Denis. La Commission va donc regarder si cette conformité est effective, « mais au-delà, il faut accompagner les sites web notamment ceux du e-commerce sur la mise en place de solutions alternatives et sur la mise en conformité ». A l’origine de cette affaire, le transfert des données entre l’UE et les Etats-Unis reste dans l’incertitude malgré l’annonce d’un accord sur un texte remplaçant le Privacy Shield. « Aujourd’hui, il n’y a pas de cadre juridique », rappelle la présidente. Enfin, une procédure de mise en demeure contre la société Clearview AI a été lancée en décembre dernier et « nous n’avons pas obtenu de réponse de la part de la société, la convocation de la formation restreinte est donc envisagée », annonce la dirigeante avec une potentielle sanction à la clé.
Si les sanctions et les contrôles sont la partie la plus médiatique de la Cnil, elle veut également mettre l’accent sur l’accompagnement des entreprises et des professionnels spécialisés dans la protection des données personnelles avec des outils et des services. Sur les outils, la Commission a inauguré en 2021 un « bac à sable » sur les données de santé avec pas moins de 12 projets dont 4 bénéficient d’un accompagnement renforcée (par exemple le CHU de Lille et l’Inria sur l’apprentissage fédéré en intelligence artificielle appliquée aux études cliniques). En 2022, ce modèle de bac à sable va être renouvelé et sera consacré aux outils numériques éducatifs. Enfin pour assister les DPO, la Cnil se réorganise pour créer un service de l’accompagnement et des délégués à la protection des données avec notamment des missions en région pour promouvoir le RGPD. La présidente de la Cnil lancera avant l’été le nouveau MOOC RGPD.