Rapport annuel de la CNIL : le montant cumulé des amendes est «historique»

Rapport annuel de la CNIL : le montant cumulé des amendes est «historique»

11.05.2022

Gestion d'entreprise

+ 55 % de contrôles, 214 millions d'euros d'amendes cumulées... En 2021, l'activité répressive de la CNIL a explosé. Quels ont été les manquements les plus fréquemment relevés ? A quoi doivent s'attendre les entreprises cette année ? Retour sur les principaux enseignements tirés du rapport annuel de la Commission publié hier sur son site internet.

Un montant des sanctions record, une hausse des violations de données significative et des actions de contrôles adaptées à la crise sanitaire… Tels sont les enseignements forts à retenir du dernier rapport annuel de la CNIL publié hier.

253 plaintes concernent la vidéosurveillance

Le rapport traduit par ailleurs une activité répressive « record » de la Commission par rapport aux années passées.

Le nombre de plaintes est resté quasi stable (+4 % comparé à 2020). Dans le détail, de nombreuses plaintes ont concerné le droit d’accès par les personnes à leurs données et plus de 253 d’entre elles ont visé la vidéosurveillance mise en œuvre par des particuliers.

L’activité de contrôle est restée soutenue : 384 contrôles ont été réalisés en 2021 (contrôles physiques et en ligne confondus) ce qui représente une hausse de 55 % par rapport à 2020 et de 28 % par rapport à 2019.

Forcément, la crise sanitaire a conduit la CNIL à adapter ses pratiques, notamment concernant les opérations de contrôle sur place, qui « ont été réduites au strict nécessaire ». Les contrôles sur place ont néanmoins augmenté durant les phases de recul de l’épidémie (+ 64 % par rapport à l’année 2020) et les auditions également (+ 47 %).

Les contrôles en ligne ont aussi augmenté très significativement (+ 110%), notamment en raison des vagues de contrôles « au périmètre limité (cookies et autres traceurs, cybersécurité des sites web) ».

Sanctions : tous les secteurs d’activités visés

Les ressources de la CNIL ont par ailleurs été « fortement mobilisées » par les contrôles des traitements liés à la vaccination ou au contrôle des passes sanitaires (29 contrôles en 2021).

Ces contrôles ont donné lieu à 135 mises en demeure, 45 rappels à l'ordre et 18 sanctions prononcées dont 15 amendes. Fait marquant de l’année : le montant cumulé des amendes prononcées, qui est « historique » en dépassant les 214 millions d’euros.

Les entreprises doivent donc être vigilantes : la CNIL n’hésite désormais plus à sanctionner les contrevenants de manière exemplaire. « Tous les secteurs d’activités et des catégories d’acteurs divers » ont été visés, souligne le rapport.

Manquements fréquents

Quels ont été les manquements les plus fréquemment sanctionnés ?

  • le défaut d’information des personnes,
  • des durées de conservation excessives,
  • un manquement en lien avec la sécurité des données personnelles,
  • une mauvaise gestion des cookies et autres traceurs.

« Les mesures de sécurité prises par les organismes restent souvent insuffisantes » alerte la CNIL, qui vérifie pourtant « systématiquement la sécurité des systèmes d’information lorsqu’elle effectue un contrôle ».

Concernant les notifications de violations de données, la Commission a relevé un véritable « boom » par rapport à 2020 : + 79 % (5 037 notifications de violations de données reçues en 2021). Elle estime que les moyens alloués à la cybersécurité sont « insuffisants au regard des enjeux de sécurité actuels ».

« Contraindre plus rapidement »

Et maintenant, à quoi doivent s’attendre les entreprises ? Dans son rapport, la CNIL annonce qu’elle souhaite « contraindre plus rapidement celles qui ne respectent pas les droits des personnes ».

Elle contrôlera également davantage les organisations qui utilisent des technologies impliquant « une utilisation massive de données », notamment via :

  • les caméras augmentées,
  • les transferts dans le cloud,
  • les applications des smartphones.

Enfin, « la CNIL s’attachera tout particulièrement au respect des droits des personnes qui constitue pour les responsables de traitement, un enjeu de responsabilité et d’image ».

Leslie Brassac

Nos engagements