Le Règlement Général sur la Protection des Données (RGPD) est applicable en Europe depuis le 25 mai 2018. Jusqu’en avril 2021, la CNIL s’est montrée conciliante. Il fallait en effet laisser un peu de temps aux entreprises pour se mettre en conformité avec ce nouveau règlement pas toujours simple à comprendre et à appliquer. La Commission avait donc essentiellement un rôle consultatif et accompagnait les entreprises sur le chemin parfois long de la conformité, et restait compréhensive.
Mais une nouvelle ligne directrice, plus dure, s’est mise en place dès le 1er avril 2021. Finie la période d’adaptation, et la tolérance. Les entreprises doivent désormais faire la différence en termes de réglementation des données. Car, comme le rappelle l’éminent philosophe Gilles Deleuze en 1969, “la différence est première en tout”.
La CNIL, qui conserve toujours ses rôles de conseil et d’accompagnement, passe désormais aux contrôles et aux sanctions financières en cas de non-respect du RGPD. Et depuis, la CNIL n’a pas chômé.
En 2021, la CNIL a reçu 14 143 plaintes et en a clôturé 12 522. Elle a procédé à 384 contrôles et les manquements constatés à l’occasion de certaines des instructions menées ont conduit à prononcer 135 mises en demeure et 18 sanctions, pour un montant cumulé d’amendes jamais atteint qui dépasse les 214 millions d’euros.
89 des 135 mises en demeure ont porté sur les cookies, l’une des thématiques prioritaires fixées par la CNIL.
En plus de ces mises en demeure, des sanctions ont été prises pour les cas les plus graves, concernant des acteurs qui ne permettaient pas à des millions d’internautes de refuser les cookies aussi simplement que de les accepter.
En parallèle, la CNIL a également poursuivi ses activités de contrôle sur la sécurité des données de santé : elle a ainsi conduit 30 nouvelles missions de contrôle auprès de laboratoires d’analyses médicales, d’hôpitaux et de prestataires en données de santé, en particulier sur les traitements en lien avec l’épidémie de COVID-19. Certaines de ces procédures sont toujours en cours d’instruction.
Elle a également porté une attention particulière à la cybersécurité du web français en contrôlant 22 organismes dont 15 publics.
Lors de ses enquêtes, la CNIL a notamment constaté des suites cryptographiques obsolètes rendant des sites web vulnérables aux attaques, des insuffisances concernant les mots de passe et, plus généralement, des moyens insuffisants au regard des enjeux de sécurité actuels.
Enfin, la CNIL a prononcé deux sanctions publiques à l’encontre du ministère de l’Intérieur, concernant l’utilisation illicite de drones et une mauvaise gestion du fichier automatisé des empreintes digitales (FAED).
Pour faire face à ces enjeux, les nouvelles orientations stratégiques de la CNIL pour la période de 2022 à 2024 se déclinent en trois axes prioritaires : favoriser la maîtrise et le respect des droits des personnes sur le terrain, promouvoir le RGPD comme atout de confiance pour les organismes et prioriser des actions de régulation ciblées sur des sujets à fort enjeu pour la vie privée.
Comme l’a énoncé Marie-Laure Denis, présidente de la CNIL: “La mise en place de ce plan d’action doit permettre à la CNIL d’agir de manière agile, aux côtés des citoyens, des entreprises, des associations et des administrations, pour construire une société numérique de confiance.”
L’année 2022 touche à sa fin et il sera bientôt l’heure de faire de nouveau le point sur cette année riche en rebondissements, le montant cumulé d’amendes aura t-il dépassé celui de 2021?
