Blog Données personnelles
La CNIL publie son rapport d’activité 2020
Le 18 mai 2021, la CNIL a publié son rapport annuel de l’année 2020 dans lequel elle dresse le bilan de cette année marquée notamment par les enjeux liés à la crise sanitaire, les nouvelles règles sur les cookies, la cybersécurité et la souveraineté numérique.
Sur le sujet de la crise sanitaire liée au Covid-19, l’autorité rappelle le rôle qu’elle a joué en accompagnant les autorités publiques dans la mise en œuvre de systèmes informatiques nécessaires à la gestion de l’épidémie (StopCovid-TousAntiCovid, Contact Covid, SI-DEP etc.).
La CNIL a en effet rendu 10 avis au gouvernement afin de garantir que ces systèmes soient respectueux des droits des personnes concernées et conformes à la réglementation applicable à la protection des données personnelles.
La publication de nouvelles lignes directrices relatives aux cookies et autres traceurs a permis de mettre à jour ses exigences. La CNIL souligne qu’en 2019 65% des personnes interrogées estimaient que les demandes d’autorisation de dépôt de cookies étaient inefficaces (Enquête IFOP pour la CNIL conduite les 3 et 4 décembre 2019).
Cette nouvelle doctrine relative aux cookies renforce les droits des internautes en leur permettant d’être correctement informés et de disposer de la faculté de refuser les cookies aussi aisément que de les accepter. L’autorité ajoute qu’après un délai raisonnable de 6 mois pour se mettre en conformité, soit avril 2021, la CNIL se réserve la possibilité de poursuivre et sanctionner les manquements observés à ces nouvelles lignes directrices.
S’agissant de la cybersécurité, le rapport révèle que la CNIL a reçu 2 825 notifications de violations de données personnelles soit 24% de plus qu’en 2019. L’attaque la plus répandue reste le rançongiciel pour laquelle la CNIL a reçu plus de 500 notifications ce qui représente 40% des violations liées à une attaque informatique. Les acteurs du domaine de la santé ont été particulièrement touchés par ces rançongiciels comme en témoignent par exemple les attaques récentes subies par les centres hospitaliers de Dax et de Villefranche-sur-Saône.
L’année 2020 a également été marquée par des décisions d’envergure et une émergence des questions de souveraineté numérique. En effet, la souveraineté numérique a été un sujet récurrent de 2020 :
- l’arrêt Schrems II rendu par la Cour de justice de l’Union européenne annulant le Privacy Shield qui encadrait le transfert de données personnelles vers les Etats-Unis ;
- l’engagement de l’Etat de transférer dans un délai de deux ans l’hébergement de la Plateforme des données de santé ou Health Data Hub vers une solution permettant de ne pas exposer ces données sensibles à d’éventuelles demandes d’accès gouvernementales illégales au regard du RGPD ;
- les initiatives législatives européennes en matière de marché unique européen avec notamment le Digital Services Act et le Digital Markets Act.
Enfin, le rapport révèle les chiffres clés de l’année 2020 durant laquelle la CNIL a :
- prononcé 14 sanctions dont 11 amendes d’un montant total de 138 489 300 euros ;
- reçu 13 585 plaintes ;
- conduit 247 contrôles.