Début mai 2022, la CNIL a publié son rapport d’activité 2021. Ce dernier témoigne d’une activité particulièrement intense et d’une sollicitation croissante de la CNIL par tous les secteurs.
Une activité record de la CNIL en 2021
Dans son rapport, la CNIL déclare avoir reçu 14 143 plaintes et en avoir clôturé 12 522. De plus, elle a procédé à 384 contrôles qui l’ont menée à prononcer 135 mises en demeure et 18 sanctions, pour un montant cumulé d’amendes jamais atteint qui dépasse les 214 millions d’euros. L’activité de contrôle est ainsi restée soutenue en 2021 avec une hausse des contrôles de 55 % par rapport à 2020 et de 28 % par rapport à 2019. En outre, selon la CNIL, « Tous les secteurs d’activités et des catégories d’acteurs divers » ont été visés, ce qui devrait mener les entreprises à se montrer plus vigilantes.
La crise sanitaire a conduit la CNIL à adapter ses pratiques, notamment concernant les opérations de contrôle sur place. On observe cependant que les contrôles sur place ont augmenté durant les phases de recul de l’épidémie (+ 64 % par rapport à l’année 2020), tout comme les auditions (+ 47 %). Les contrôles en ligne ont, quant à eux, grandement augmenté en 2021 (+ 110%), notamment en raison de la campagne de contrôles visant à vérifier la mise en conformité des entreprises en termes de cookies.
Quels sont les manquements les plus fréquemment sanctionnés?
On peut noter que, parmi les 135 mises en demeure, 89 concernent les cookies et autres traceurs, l’une des thématiques prioritaires fixées par la CNIL pour 2021. En effet, après un délai d’adaptation de six mois laissé aux acteurs du numérique pour se mettre en conformité avec les nouvelles règles sur les cookies, la CNIL a déclenché une importante campagne de contrôles qui a permis de mettre au jour de nombreuses pratiques non conformes. En outre, en plus de ces mises en demeure, des sanctions ont été prises pour les cas les plus graves, i.e. concernant des acteurs qui ne permettaient pas à des millions d’internautes de refuser les cookies aussi simplement que de les accepter.
Parmi les manquements les plus fréquemment sanctionnés, on observe également les éléments suivants:
- des défauts d’information des personnes,
- des durées de conservation des informations excessives,
- des manquements liés à la protection des données personnelles,
Concernant les notifications de violations de données, la CNIL a observé un véritable boom par rapport à 2020 avec 79 % de notifications supplémentaires. Au total, 5 037 notifications de violations de données ont ainsi été reçues en 2021. L’organisme alerte ainsi les acteurs du numérique et estime que les moyens alloués à la cybersécurité sont insuffisants, en particulier au regard des enjeux de sécurité actuels. En effet, en 2021, la CNIL a porté une attention particulière à la cybersécurité du web français. Elle a contrôlé 22 organismes dont 15 publics. Lors de ses contrôles, la CNIL a notamment constaté des « suites cryptographiques obsolètes rendant des sites web vulnérables aux attaques, des insuffisances concernant les mots de passe et, plus généralement, des moyens insuffisants au regard des enjeux de sécurité actuels ». Toujours dans cette optique de contrôle de la cybersécurité, la CNIL a aussi poursuivi ses activités de contrôle sur la sécurité des données de santé, certaines de ces procédures étant toujours en cours d’instruction.
A quoi s’attendre pour 2022? Les nouvelles thématiques de contrôle prioritaires de la CNIL
Dans un communiqué du 15 février 2022, la CNIL a annoncé quelles seraient ses principales thématiques de contrôle pour l’année 2022. Il s’agit de la prospection commerciale, le cloud et la surveillance du télétravail.
S’agissant de la prospection commerciale, la CNIL entend lutter contre la prospection commerciale non sollicitée. En effet, ce sujet étant un sujet récurrent de plaintes, la CNIL a publié, en février 2022, un nouveau référentiel de gestion commerciale accompagné de différentes ressources pour guider les acteurs dans leur mise en conformité. En s’appuyant sur le référentiel récemment publié, la CNIL vérifiera ainsi la conformité au RGPD des professionnels du secteur, et en particulier de ceux qui procèdent à la revente de données.
Ensuite, selon la CNIL, les recours de plus en plus importants au cloud sont à l’origine de risques pour la protection des données personnes. Elle s’inquiète notamment des transferts massifs de données hors de l’Union européenne vers des pays n’assurant pas un niveau de protection adéquat.
Enfin, concernant le télétravail, elle entend s’assurer que les outils de contrôle utilisés par les entreprises sont bien conformes à ses recommandations. La CNIL explique ainsi que « Le recours au télétravail massif a entraîné le développement d’outils spécifiques, parmi lesquels figurent des outils permettant aux employeurs d’assurer un suivi plus étroit des tâches et activités quotidiennes des salariés, indique la Cnil. Dans une volonté constante d’accompagnement, la Cnil a largement communiqué sur les règles et bonnes pratiques à respecter pour assurer un juste équilibre entre vie privée au travail et contrôle légitime de l’activité des travailleurs. Elle considère aujourd’hui nécessaire de vérifier sur le terrain la conformité des pratiques des employeurs ».
Source : CNIL, actuEL
Ne ratez pas notre dernière actualité sur le barème Macron suite à sa validation par la Cour de cassation.
N’hésitez pas à nous contacter pour plus d’informations ou pour toute demande d’accompagnement. Nos experts d’Aix-en-Provence et de Marseille sont à votre écoute. Vous pouvez nous joindre via notre site internet ou directement par téléphone au 04 91 76 30 18.
