Pour la 41ème année, la Cnil a rendu son rapport d’activité. Une année 2020 à la teinte particulière du fait de la crise sanitaire. Marie-Laure Denis, sa présidente, l’indique en préambule dans le rapport, « les données personnelles ont été utilisées pour répondre aux multiples défis de la crise sanitaire ». La commission a été fortement sollicitée par l’Etat pour la mise en place de l’application StopCovid devenue TousAntiCovid, du fichier Vaccin Covid... Par ailleurs, elle a autorisé de nombreuses recherches médicales pour étudier l’épidémie.
En dehors de la crise sanitaire, ce qui frappe dans le rapport annuel de la Cnil, c’est la hausse des notifications pour violation de données. Celles-ci atteignant 2 825 en 2020 soit une progression de 24%. Et si on regarde dans le détail, 1 315 de ces notifications sont en lien avec un piratage informatique dont 500 résultent d’une attaque par ransomware. La Cnil constate que ce fléau continue en 2021 en ciblant notamment les établissements de santé. Villefranche sur Saône, Dax, Oloron-Sainte Marie sont autant d’affaires qui ont mobilisé l’Etat pour adopter un plan national sur la cybersécurité. Les violations de données liées au secteur de la santé et de l’action sociale ont bondi de 83%. La Commission alerte sur de nombreux manquements concernant des règles élémentaires de protection et de sécurité. Elle donne quelques exemples de bonnes pratiques : « Le chiffrement des échanges sur supports numériques amovibles, la mise en œuvre d’un chiffrement de surface des disques des ordinateurs portables, qui font souvent défaut, ou encore l’utilisation de fonctions cryptographiques à l’état de l’art. »
Un record d’amende et des DPO en hausse
Si le nombre de plaintes a un peu baissé (-3,9%) par rapport à 2019, les condamnations ont par contre progressé avec 14 sanctions et 49 mises en demeure en 2020. Plusieurs affaires ont retenu l’attention comme le groupe Carrefour qui a écopé d’une amende de 3 M€ ou Spartoo condamné à hauteur de 250 000 euros. Mais la sanction plus salée est sans conteste celle infligée à Google et Amazon pour un montant global de 135 M€ après des manquements sur la politique relative aux cookies. Il n’en fallait pas plus pour que la somme totale des amendes ordonnées en 2020 (138,5 M€) dépasse allègrement celle de 2019.
Sur la partie RGPD, la crise sanitaire ne semble pas avoir affaibli la mise en œuvre du règlement comme le montre la forte progression d’organismes disposant d’un DPO ou délégué à la protection des données. La Cnil comptabilise 73 331 organismes ayant désigné un DPO contre 64 900 en 2019. La Commission note une appétence pour son MooC dédié au RGPD avec plus de 100 000 comptes enregistrés. Elle envisage d’enrichir le contenu prochainement avec des ateliers pour les collectivités territoriales, la santé et les ressources humaines. Par ailleurs, un accent doit être porté sur les TPE-PME autour de l’application du RGPD et de l’arrivée de nouveaux modèles économiques comme le click and collect.