La Cnil a publié son rapport d’activité pour l’année 2020 intitulé « Ensemble voyons le numérique autrement ». Ce rapport annuel fait office de bilan de l’application du RGPD trois ans après son entrée en vigueur.
Ce rapport d’activité de la Cnil intervient dans un contexte où les données personnelles sont au cœur de l’actualité. En présentation de ce rapport d’activité, la Cnil met en avant :
- l’impact de la crise sanitaire,
- les nouvelles règles sur les cookies et
- l’augmentation des cyber menaces.
En 2020, l’utilisation des données personnelles pour répondre à la crise sanitaire
La Cnil constate que les activités numériques ont massivement évolué avec les mesures sanitaires de confinement et de distanciation sociale. La Cnil met en avant notamment le télétravail et les consultations médicales à distance qui comportent des enjeux de protection des données à caractère personnel.
Les pouvoirs publics notamment ont utilisé les données à caractère personnel pour combattre l’épidémie. La Cnil relève l’utilisation du contact tracing numérique par l’application TousAntiCovid ou l’usage de caméras intelligentes ou thermiques. La Cnil fait état de plusieurs avis qu’elle a rendu sur ces technologies pour concilier respect des mesures sanitaires et protection de la vie privée des Français.
Par ailleurs, la Cnil a contribué à une meilleure conformité des recherches médicales par la publication de référentiels et de méthodologies de référence sur ce sujet. Grâce à ces méthodologies de référence, 90% des 500 projets de recherche impliquant la personne humaine (RIPH) ont pu être mis en œuvre sans demande d’autorisation préalable de la Cnil. Pour les autres projets, la Cnil a mis en place une procédure accélérée pour leur instruction ces dossiers étant considérés comme des priorités absolues.
Pour les projets de recherche en lien avec la Covid-19, la Cnil annonce qu’en 2020 :
- 21 % des dossiers ont été traités le jour même ;
- 45 % en moins de deux jours ;
- 63 % en moins d’une semaine.
La Cnil s’est également concentrée en 2020 sur les enjeux liés au télétravail. Le développement de cette modalité d’organisation du travail devait se réaliser dans le respect de la vie privée du salarié, pour éviter notamment une surveillance systématique de celui-ci. La Cnil rappelle les obligations des employeurs et a publié sur son site internet au cours de l’année 2020 de nombreuses informations sur les traitements réalisés par les employeurs dans le cadre du télétravail.
En 2020, de nouvelles règles sur l’utilisation des cookies par la Cnil
L’année 2020 est marquée par les nouvelles recommandations[1] et lignes directrices de la Cnil relatives aux traitements des cookies et autres traceurs en date du 17 septembre 2020. Ces documents s’inscrivent dans le plan d’actions sur le ciblage publicitaire lancé en 2018 par la Cnil[2].
Pour permettre une bonne application de ces nouvelles règles, la Cnil a publié sur son site internet de nombreuses fiches pratiques à destination des professionnels et des particuliers.
L’objectif affiché de la Cnil est « d’accroître la transparence et garantir une véritable liberté de choix aux internautes en leur donnant davantage de contrôle ».
La Cnil a adopté différentes approches avec les acteurs du numérique, les informant à de nombreuses reprises sur les nouvelles règles en matière de cookies et en effectuant des contrôles pour identifier les écarts et en informer le responsable de traitement. La Cnil a notamment prononcé deux sanctions, avant l’entrée en vigueur des nouvelles recommandations, au regard de la gravité des manquements constatés.
Elle rappelle qu’elle a accordé une période de grâce de 6 mois aux professionnels pour adopter les nouvelles règles. Depuis l’expiration de cette date, la Cnil a procédé à des contrôles et prononcé des sanctions.
En 2020, la cybersécurité au cœur des la protection des données
Comme indiqué en introduction de son rapport d’activité, la Cnil constate une poussée significative des cyberattaques notamment lors des périodes de confinement. La Cnil indique toutefois que les professionnels prennent réellement conscience des enjeux de la cybersécurité. Mais au sein des organismes, les règles de sécurité de base ne seraient pas respectées.
Au regard de ce contexte, le nombre de violations de données signalé à la Cnil a augmenté de 24 % pour atteindre 2825 en 2020. Ces notifications ont donné lieu à 50 procédures de contrôles de la part de la Cnil durant l’année 2020.
La Cnil constate que la majorité des notifications sont le résultat d’un acte de malveillance externe. Surtout les menaces les plus identifiées sont l’utilisation d’un rançongiciel qui représente plus de 500 notifications.
En réponse à ce constat, la Cnil a développé sa communication autour de la sécurité informatique. La Cnil publie désormais une rubrique dédiée « la violation du trimestre »[1] et a publié des guides ou fiches de bonnes pratiques afin de sensibiliser les professionnels. Bien sûr la Cnil continue de collaborer étroitement avec l’ANSSI sur ce sujet.
En 2020, les données personnelles sont un sujet toujours majeur
La Cnil indique que 87 % des Français se déclarent sensibles à l’enjeu de protection des données et que 68 % des Français déclarent connaître la Cnil, chiffre en constante évolution qui montre que la prise de conscience s’inscrit dans la durée.
Cette sensibilisation des personnes se constate dans les chiffres relevés par la Cnil :
- 13 585 plaintes en 2020
- 3996 demandes de droit d’accès indirects
- 452 requêtes reçues par voie électronique, soit une augmentation de 18 %
- 8 667 000 visites sur le site de la Cnil soit une augmentation de 21 %.
En 2020, une stratégie de contrôle et de répression toujours plus active
La Cnil met au cœur de sa stratégie la conduite des contrôles et des sanctions pour inciter les professionnels à réaliser leur mise en conformité.
La Cnil a su s’adapter au contexte sanitaire. Elle privilégie les contrôles en ligne, sur pièces et sur audition par rapport au contrôle sur place habituellement plus fréquent. Au total pour l’année 2020, 247 contrôles ont été réalisés :
- 40 % des contrôles sont réalisés suite à une plainte ou un signalement,
- 32 % à l’initiative de la Cnil au regard de l’actualité et
- 15 % concernent les thématiques prioritaires annuelles de la Cnil.
Pour permettre aux professionnels de mieux appréhender les contrôles, la Cnil a publié au cours de l’année 2020 sa charte des contrôles afin que tout contrôlé puisse notamment prendre connaissance de ses droits[1].
L’année 2020 a été une année record pour la Cnil qui a prononcé 15 décisions dont 11 amendes pour un montant de 138 439 300 euros, 1 injonction sous astreinte, 2 rappels à l’ordre et 1 non-lieu.
Enfin sur le volet contentieux, la Cnil est intervenue à 18 reprises devant le Conseil d’Etat notamment pour une contestation des décisions de sanctions de l’autorité de contrôle.
La vision de la Cnil pour 2021
Pour l’année 2021, la Cnil va prioriser son action sur trois axes :
- Le consentement aux cookies et le respect des nouvelles règles ;
- L’hébergement des données dans un cloud souverain pour mieux protéger contre les flux transfrontières ;
- La cybersécurité.
Elle rappelle son attachement à l’accompagnement des professionnels en mettant à leur disposition de nombreux outils pour améliorer leur conformité. Elle a ainsi :
- publié une charte d’accompagnement des professionnels en février 2021 et
- supervise actuellement un projet de bac à sable RGPD pour aider des projets innovants à se développer tout en garantissant une protection des données.
Elle agit également au quotidien pour protéger les citoyens dont l’exploitation des données peut entraîner :
- des situations de discrimination et
- une intrusion forte dans la sphère privée.
La Cnil annonce la publication d’un livre blanc sur les données de paiement suite aux nouvelles pratiques de consommation et de paiement du fait de la crise sanitaire (vente en ligne, paiement sans contact, etc.).
La Cnil conclut son rapport d’activité 2020 en marquant sa sensibilité aux enjeux environnementaux face à l’exploitation des données. Elle rappelle que les acteurs doivent également participer à une transition écologique ; notamment en promouvant une sobriété numérique qui passe notamment par l’arrêt des sauvegardes intempestives et disproportionnées.
Céline Avignon
Robin Nini
Lexing Publicité & Marketing électronique
Pour plus d’information :
(1) Cnil, Recommandations cookies et traceurs du 17 septembre 2020.
(2) Cnil, Lignes directrices cookies et traceurs du 17 septembre 2020.
(3) Cnil, La violation du trimestre : récupération de numéros de carte bancaire par injection SQL sur un site de e-commerce, Site internet de la Cnil 07 octobre 2020.
(4) Cnil, Charte des Contrôles, Site internet de la Cnil, 05 août 2020.