CNIL : une année 2021 « sans précédent » pour les sanctions

CNIL

La Commission nationale de l’informatique et des libertés (CNIL) a présenté mercredi son rapport annuel. Si le nombre de plaintes semble avoir atteint un "plateau élevé" à plus de 14.000, l'année 2021 a été "sans précédent" sur le plan des sanctions, "tant par le nombre de mesures adoptées (18 sanctions et 135 mises en demeure) que par le montant cumulé des amendes, qui atteint plus de 214 millions d'euros" (+55%), détaille-t-elle dans son document. Après avoir laissé un temps d'adaptation aux entreprises sur le sujet des "cookies", ces traceurs du web très utilisés par les géants publicitaires, la CNIL a pu cette fois s'appuyer sur la réglementation européenne RGPD, qui prévoit des amendes allant jusqu'à 4% du chiffre d'affaires. Ainsi, Google et Facebook ont-ils été sanctionnés en décembre à hauteur de respectivement 150 et 60 millions d'euros, car "ils ne permettaient pas à des millions d'internautes de refuser les cookies aussi facilement que de les accepter", a rappelé la présidente de l’instance, Marie-Laure Denis. Les deux géants ont depuis indiqué avoir modifié leur interface, a relevé la CNIL. Le régulateur a réitéré sa mise en garde sur l'outil d'analyse du trafic Google Analytics, sur lequel elle a annoncé 3 mises en demeure. "La récente annonce d'un accord de principe (sur les transferts de données, ndlr) entre l'UE et les Etats-Unis constitue un premier pas important, mais ne modifie pas à ce stade le cadre juridique des transferts. En l'absence d'un texte qui ne sera pas prêt avant plusieurs mois, les acteurs doivent prendre des mesures pour veiller au respect de la protection des données", a déclaré Mme Denis. Sans réponse de la société américaine Clearview, mise en demeure de supprimer les images de personnes résidant en France de sa base de données utilisée à des fins de reconnaissance faciale, Mme Denis a dit "envisager sérieusement de saisir prochainement la commission restreinte de la CNIL" pour lancer une procédure de sanction.

La CNIL a également observé une hausse spectaculaire des signalements de violations de données, plus de 14 par jour en moyenne, liée à la prise de conscience par les entreprises de l'obligation de signaler toute fuite de données personnelles, mais aussi à la "très forte croissance des attaques informatiques, notamment les attaques par rançongiciels" qui ciblent d'abord les entreprises, les collectivités et les organismes publics, particulièrement dans le secteur de la santé. Quelque 3.000 violations, soit 59% des signalements, résultaient d'un piratage informatique, et plus de 2.150 étaient liées à des rançongiciels, a-t-elle établi. Face à cette activité en hausse et à la perspective d'obtenir de nouvelles missions à travers la nouvelle régulation européenne sur le numérique (DSA, DMA, Data Act, règlement sur l'intelligence artificielle, règlement ePrivacy), la CNIL veut faire évoluer ses pratiques. Elle compte "prendre davantage de petites sanctions" en s'appuyant sur une procédure simplifiée permettant au seul président de sa formation restreinte de prononcer des amendes d'un montant maximal de 20.000 euros, et des astreintes de 100 euros par jour maximum. "Quand on sanctionne par exemple un cabinet de dentiste, on a constaté que ça permet de mettre en conformité tout un secteur", a justifié Marie-Laure Denis. "C'est une vraie nécessité de conforter les moyens de la CNIL", a-t-elle poursuivi. L'institution disposera fin 2022 de 270 agents pour un budget de quelque 22 millions d'euros, encore loin de ses homologues britanniques et allemandes qui comptent près de 1.000 agents.

cnil
cnil

À lire aussi

Filtrer par