Retour sur le rapport annuel 2021 de la CNIL

Publication du rapport d’activité 2021 de la CNIL

C’est le 11 mai 2022 que la CNIL a publié son 42ème rapport annuel d’activité pour l’année 2021. L’occasion pour l’Autorité de contrôle de revenir sur une activité qu’elle qualifie de « particulièrement intense » avec des sollicitations croissantes de ses services par tous les acteurs. C’est dans un rapport conséquent de 124 pages que la CNIL revient sur l’année passée mais s’ouvre également sur les enjeux à venir. Que faut-il retenir ?

Quelques chiffres clés

Les premiers chiffres à retenir du rapport de la CNIL concernent les actions répressives de l’Autorité :

1. C’est d’abord une augmentation de 4% de plaintes reçues par rapport à 2020 avec un nombre cumulant à 14 143 restant stable
2. 973 plaintes concernant la prospection commerciale, associative et politique
3. 1 436 plaintes relatives au droit d’accès
4. Concernant les plaintes européennes : ici la CNIL fait état d’une augmentation de 35% des demandes en un an, par rapport à 2020. Parmi celles-ci, la CNIL a ainsi reçu plus de 200 plaintes de clients de VINTED avant de les transmettre à l’Autorité chef de file lituanienne.

Concernant les violations de données reçues en 2021 par la CNIL :

• C’est une augmentation de 79% par rapport à 2020 que rapporte l’Autorité

Autre chiffre intéressant, l’augmentation constante d’organismes ayant désignés un DPO (Délégué à la protection des données personnelles) avec une hausse de 13% par rapport à 2020 avec 28 810 désignations. Cela traduit la prise en compte de plus en plus importante des sociétés à l’égard de leurs obligations au RGPD. L’augmentation des visites de 12% sur le site de la CNIL avec près de 11 millions de visites traduit également cette évolution.

Enfin, la CNIL a réalisé 384 contrôles en 2021 dont :

• 118 contrôles sur place,
• 65 contrôles sur pièce,
• 173 contrôles en ligne,
• 28 contrôles sur audition.

Ces procédures de contrôle ont ainsi pu aboutir à un total de 135 mises en demeure, à la suite desquelles 18 sanctions ont été prononcées dont 15 amendes pour un montant total de 214 106 000 €.

Pour rappel, l’une des thématiques de contrôle de la CNIL en 2021 portait sur la gestion du consentement et des cookies. C’est pourquoi parmi ces contrôles, 89 mises en demeure ciblaient un manquement en lien avec l’utilisation des traceurs, lesquelles ont abouti à 4 sanctions concernant une mauvaise gestion des cookies par les responsables de traitements. A noter également ici que la CNIL souligne le fait que plus de 250 plaintes reçues concernaient des sites a priori non conformes sur les règles relatives aux cookies.

Les impacts

La CNIL participe également à accompagner les pouvoirs publics afin d’éclairer leurs décisions. C’est à ce titre qu’elle a répondu en 2021 à 22 auditions parlementaires, et ainsi pu rendre 121 avis sur des projets de lois et de décrets. En lien avec ses méthodologies de référence (MR) dans le secteur de la santé (dont un expert du domaine était venu parler sur notre page LinkedIn il y a quelques mois, à retrouver ici), la CNIL a ainsi traité 576 dossiers d’autorisation en santé. Ceci permet de démontrer l’impact et l’implication de la CNIL au niveau législatif.

Elle revient également sur l’arrêt SCHREMS II de la Cour de Justice de l’Union européenne pour rappeler sa position liée aux plaintes de l’association NYOB concernant les services de Google (dont nous avons déjà parlé dans un précédent article et post LinkedIn). Rien de nouveau sous le soleil pour autant dans le rapport. La CNIL rappelle l’alerte émise sur les risques d’accès illégaux par les autorités américaines aux données stockées dans l’Union européenne, considérant que les transferts de données dus à Google Analytics sont illégaux en imposant « à un gestionnaire de site web français de se conformer au RGPD, y compris en arrêtant d’utiliser cet outil dans les conditions actuelles ».

Pour 2022

L’occasion pour nous aussi de rappeler quelles sont les thématiques prioritaires de contrôle de la CNIL pour 2022. Celles-ci étant déterminées en fonction des contrôles réalisés sur la base des plaintes reçues, de l’actualité et de thématiques choisies de sa propre initiative. Il s’agit donc :

• De la prospection commerciale, qui fait suite au récent référentiel de la CNIL sur la gestion commerciale publié en février 2022,
• Des outils de surveillance dans le cadre du télétravail, qui a entrainé le développement d’outils spécifiques, lesquels peuvent permettre aux « employeurs d’assurer un suivi plus étroit des tâches et activités quotidiennes des salariés »,
• De l’utilisation du cloud, susceptible de générer des « transferts massifs de données hors de l’Union européenne vers des pays n’assurant pas un niveau de protection adéquat ou de violation de données en cas de mauvaise configuration ».

En outre, dans son rapport la CNIL ouvre son ambitieux plan stratégique pour 2022-2024 sur trois « axes » :

• Favoriser la maîtrise et le respect des droits des personnes sur le terrain,

Dans ce cadre, la CNIL souhaite notamment accroître l’efficacité de son action répressive afin de permettre d’assurer l’effectivité des droits des personnes et la conformité des organismes au RGPD. Sur ce point, la CNIL indique qu’elle doit encore faire évoluer ses procédures de contrôle, de mise en demeure et de sanction, point que nous avons déjà abordé dans le cadre de l’un de nos précédents articles à retrouver ici.

• Promouvoir le RGPD comme atout de confiance pour les organismes,

Attendus de longue date par la communauté de la protection des données personnelles, la CNIL souhaite développer et simplifier les outils de certification et de code de conduite. L’autre point que souhaite mettre en avant la CNIL ici, est sa volonté de faire de la conformité la « meilleure prévention contre les risques cyber ». L’Autorité rappelle ici son rôle et ses missions en matière de sécurité des données et son expertise technologique et le renforcement de son impact dans « la réponse des pouvoirs publics au risque cyber ».

Autre point d’intérêt ici, la CNIL souhaite continuer le développement d’outils d’accompagnement transparents, accessibles et adaptés aux enjeux à destination des responsables de traitement.

• Prioriser des actions de régulation ciblées sur des sujets à fort enjeu pour la vie privée,

Ici la CNIL souhaite intervenir sur le sujet des transferts de données dans le Cloud (cf. thématique de contrôle 2022). Autre point prioritaire en ce qui concerne les caméras dites « augmentées » et leurs usages, faisant courir le risque d’une surveillance systématisée ainsi qu’à grande échelle des personnes. Enfin, la CNIL souhaite également intervenir dans le domaine de la collecte de données personnelles réalisées au travers des applications de smartphones. Dans ce contexte la CNIL souhaite rendre visible les flux de données afin de renforcer la conformité de ces applications afin de mieux protéger la vie privée des utilisateurs.

Enfin, pour la première fois, la CNIL organisera en 2022 une conférence académique sur la protection des données. Cet évènement aura lieu le 28 juin 2022 sous l’appellation Privacy Research Day visant à permettre des partenariats avec des chercheurs pour l’accompagner dans la réalisation de ses missions.

Nous ne manquerons pas de vous tenir informés de tout sujet en lien avec les lignes directrices de la CNIL ! Stay safe, stay tuned !! 🚀

Sources :

• Communiqué de presse 
• Rapport d’activité 2021
• Thématiques prioritaires de contrôle 2022

*Photo de couverture issue du rapport annuel de la CNIL 2021