La CNIL vient de rendre son rapport d’activité pour l’année 2021. Un rapport de 124 pages, rappelant ses actions, ses priorités, dévoilant ses chiffres, présentant son organisation ainsi que ses ressources humaines et financières.
Qu’est-ce que la CNIL et quel est son rôle ?
La CNIL, Commission Nationale de l’Informatique et les Libertés, est une autorité administrative indépendante. Elle est composée de 18 membres (élus ou nommés). Elle veille à ce que l’informatique soit au service du citoyen. L’outil informatique ne doit pas porter atteinte à l’identité humaine, aux droits de l’homme, aux libertés privées, individuelles et publiques.
La CNIL a pour mission d’informer et de protéger les droits que ce soit pour les particuliers comme pour les professionnels. Elle accompagne et conseille les organismes à se conformer au RGPD. Elle a également pour mission d’anticiper et d’innover afin de protéger la vie privée des usagers. Pour finir, elle a le pouvoir de contrôler et de sanctionner ceux qui ne se conforment pas à la loi.
Bilan 2021 pour la CNIL
L’année 2021 aura été une année marquée par une activité intense : transformation de la politique d’accompagnement, mobilisation renforcée sur la cybersécurité et durcissement de la démarche répressive. Le rapport sorti le 11 mai dernier révèle une nette hausse par rapport à l’année précédente du nombre de notifications reçues par l’organisme. Elle aura également été très active dans son rôle de conseil et de réglementation.
Transformation de la politique d’accompagnement
La CNIL souhaite avant tout mettre en place une sécurité juridique pour tous les professionnels en rapport avec le RGPD (Règlement Général sur la Protection des Données). Afin de les guider, ces derniers peuvent trouver sur le site de la CNIL des guides et différentes ressources en ce sens.
Afin que tous les organismes respectent la vie privée de leurs clients ou utilisateurs, la CNIL met à jour régulièrement de nombreux outils sur son site web.
Cette dernière accompagne les pouvoirs publics et donne son avis sur de nouvelles lois et décrets. Au cours de l’année 2021, la CNIL a rendu 121 avis sur des projets de texte pour la plupart sur la protection des données personnelles.
De nombreux contrôles
La CNIL a reçu 14 143 plaintes (+4% par rapport à 2020) et a effectué 384 contrôles. Cela a abouti à 135 mises en demeure et 18 sanctions. Soit un montant de 214 millions d’euros tout confondu. L’augmentation des plaintes entraîne obligatoirement une augmentation des répressions.
Malheureusement, 89 des 135 mises en demeure portaient sur un manquement en lien avec l’utilisation des traceurs. Une campagne de surveillance a été déclenchée et cela a mis à jour de nombreuses pratiques non conformes.
Les contrôles ont aussi été très soutenus dans le secteur de la santé auprès de laboratoires, hôpitaux, prestataires…ainsi que dans le traitement des données en lien avec l’épidémie de Covid-19. En février 2021, la CNIL a demandé le blocage d’un site en urgence. Ce dernier mettait à disposition des données de santés de plus de 500 000 personnes (nom, prénom, adresse, date de naissance, information sur les maladies, grossesses, traitements). Ces données provenaient à l’origine d’un logiciel de laboratoire d’analyse médical.
Une dernière attention a été portée sur la cybersécurité. Il a été constaté l’usage de méhtodes cryptographiques vieillissantes entraînant une vulnérabilité aux attaques, des carences concernant les mots de passe et, plus fréquemment, des systèmes insuffisants au vu des enjeux de sécurité actuels.
43% des notifications reçues en 2021 concernent une attaque par rançongiciel.
Un rançongiciel (ransomware en anglais) est un programme malveillant qui chiffre, bloque les données personnelles d’un particulier ou d’une société dans le but d’extorquer de l’argent. Le paiement de la rançon n’assure pas la récupération des données compromises et ne protège pas les organismes contre une nouvelle attaque du même type. Cette menace vise principalement les PME, car moins elles sont moins protégées que les grandes entreprises face à ces attaques. Tous les secteurs sont concernés avec une petite préférence pour le secteur des sciences et de la santé.
Les entreprises privées ne sont pas les seules à être contrôlées. En effet, le ministère de l’Intérieur a été rappelé à l’ordre deux reprises sur l’année 2021. Le premier concernait l’utilisation illicite de drones équipés de caméras pour vérifier le respect du confinement et le deuxième rappel à l’ordre concernait la conservation plus longue que la loi ne le prévoit des données dans le fichier des empreintes digitales.
L’essor du télétravail a également entraîné une augmentation importante du nombre de plaintes pour surveillance des salariés par leur entreprise. En effet, cela concernait des vidéosurveillances par caméras ou par webcams. La majorité de ces plaintes concernaient de petites entreprises sans service juridique.
Les Cookies
Au cours de l’année 2021, la CNIL a augmenté les contrôles sur le respect des cookies. En effet, ce petit fichier est stocké par un serveur dans le terminal (ordinateur, téléphone…) de l’utilisateur. Il permet de mémoriser vos identifiants et mots de passe, votre panier, mais il trace aussi toute votre navigation pour des statistiques ou publicités. Certains nous rendent service et sont exemptés de consentement. Mais les autres ont besoin de notre approbation !
C’est évidemment sur ces derniers que la CNIL a porté toute son attention au cours de cette dernière année. Pour rappel, depuis 2019 la protection des données oblige tous les sites à solliciter explicitement le consentement des utilisateurs lors de leur 1re connexion. Mais il reste encore quelques récalcitrants… En effet, la règle stipule qu’il doit être aussi facile de les refuser que de les accepter. C’est ainsi que Facebook a été sanctionné à 60 millions d’euros par exemple, tandis que pour Google la sanction s’élève à 150 millions d’euros.
Transfert des données personnelles à l’échelle européenne et mondiale
La CNIL a lancé des alertes sur le risque d’accès non conformes des autorités américaines aux données personnelles stockées dans l’Union européenne. Elle accompagne les acteurs qui développent des projets en matière de cloud de confiance qui doivent intégrer la protection des données personnelles.
Projets futurs de la CNIL
Éducation Nationale et jeunesse
Les différents confinements ont obligé l’éducation nationale à se renouveler. La CNIL souhaite soutenir et accompagner les mutations du secteur de l’éducation, qu’ils s’agissent des nouveaux outils utilisés, de l’éducation au numérique de la jeunesse, des droits des mineurs sur internet.
La grande année du « Bac à sable »
Ce système offre un accompagnement accentué à des projets innovants. Il permet de fournir des réponses concrètes et de la sécurité juridique sur de nouvelles difficultés. Il est ouvert à toutes idées créatives, quelle que soit la situation du porteur du projet (privé ou public).
Privacy Research Day
La CNIL organise sa toute première conférence le 28 juin 2022 prochain. Il s’agit de recherches dans le domaine de la protection de la vie privée et des données personnelles. Le Privacy Research Day a pour objectif de permettre plus d’échanges entre les chercheurs en informatique en sciences humaines et sociales et les experts en juridique et techniques de la CNIL.
Environnement et Données personnelles
Le dernier sujet de préoccupation pour les années futurs : les données et l’environnement. Aujourd’hui, nos données personnelles sont une mine d’or. Outre les enjeux économiques, leur utilisation, leur circulation et les risques pour la vie privée, reste également la question environnementale.
Pour terminer, la CNIL souhaite sur le long terme bâtir une société numérique de confiance. Pour cela elle s’appuie sur 3 grands axes : encourager le respect des droits des personnes, favoriser le RGPD comme atout de confiance et faire une priorité de la sécurité des données personnelles.