CNIL : de plus en plus de plaintes

Renouvellement de la politique d’accompagnement, mobilisation accrue sur la cybersécurité et renforcement de l’action répressive : l’année 2021 aura été marquée par une activité particulièrement intense et une sollicitation croissante de la CNIL par tous les acteurs de la société.

En 2021, la CNIL (Commission Nationale Informatique et Liberté) a reçu 14 143 plaintes et en a clôturé 12 522. Elle a procédé à 384 contrôles et reçu plus de 5 000 notifications de violations de données (+ 79 % par rapport à 2020). 

Les manquements constatés à l’occasion de certaines des instructions menées ont conduit la CNIL à prononcer 135 mises en demeure et 18 sanctions, pour un montant cumulé d’amendes historique qui dépasse les 214 millions d’euros.

89 des 135 mises en demeure ont porté sur les cookies, l’une des thématiques prioritaires fixées par la CNIL pour cette année. Après un délai d’adaptation de six mois laissé aux acteurs du numérique pour mettre leurs pratiques en conformité avec les nouvelles règles sur les cookies, la CNIL a ainsi déclenché une campagne de contrôles inédite qui a permis de mettre au jour de nombreuses pratiques non conformes.

En plus de ces mises en demeure, des sanctions ont été prises pour les cas les plus graves, concernant des acteurs qui ne permettaient pas à des millions d’internautes de refuser les cookies aussi simplement que de les accepter.

Le quotidien numérique

En parallèle, la CNIL a également poursuivi ses activités de contrôle sur la sécurité des données de santé : elle a ainsi conduit 30 nouvelles missions de contrôle auprès de laboratoires d’analyses médicales, d’hôpitaux, de prestataires et de data brokers en données de santé, en particulier sur les traitements en lien avec l’épidémie de COVID-19. Certaines de ces procédures sont toujours en cours d’instruction.

Elle a également porté une attention particulière à la cybersécurité du web français en contrôlant 22 organismes dont 15 publics. Lors de ses enquêtes, la CNIL a notamment constaté des suites cryptographiques obsolètes rendant des sites web vulnérables aux attaques, des insuffisances concernant les mots de passe et, plus généralement, des moyens insuffisants au regard des enjeux de sécurité actuels.

Comme chaque année, certains sujets du quotidien numérique ont généré de nombreuses plaintes auprès de la CNIL. 973 plaintes reçues en 2021 concernent la publicité par courrier électronique (38 %), SMS (29 %), voie postale (20 %) et téléphone (13 %). Les personnes rencontrent le plus généralement des difficultés pour ne plus recevoir de prospection alors qu’elles ont exprimé leur opposition à ces envois. Elles rencontrent également des difficultés à identifier qui a transmis leurs coordonnées aux organismes à l’origine de la prospection.

1 906 plaintes reçues en 2021 concernent principalement l’effacement de données de dirigeants de sociétés publiées sur des sites web de type annuaires d’entreprises ayant collecté les informations auprès de l’INPI ou de l’INSEE au titre de l’open data du registre du commerce et des sociétés. Certaines plaintes concernent également la publication de données mettant en cause ou dénigrant les plaignants sur des réseaux sociaux ou des blogs.

83  % des plaintes reçues en 2021 relatives à la surveillance des salariés concernaient des dispositifs de vidéosurveillance au travail. En général, ces plaintes visent des entreprises de taille réduite qui ne disposent ni d’un service juridique ni du soutien d’un délégué à la protection des données. L’action de la CNIL vise donc à les informer de leurs obligations afin qu’elles se mettent en conformité. Lorsque cette action ne suffit pas, des contrôles sur place peuvent avoir lieu et donner lieu à des mises en demeure ou des sanctions.

Le droit d’accès

Concernant le droit d’accès, la CNIL a reçu 1 436 plaintes, dont 28,7 % concernent le secteur du travail. En outre, elle a reçu 112 plaintes concernant des difficultés dans l’exercice du droit d’accès à son dossier médical auprès d’un professionnel de santé (dentiste, médecin généraliste ou spécialisé, établissement de santé public ou privé). La CNIL a encore reçu plus de 200 plaintes concernant l’inscription par les établissements bancaires et de crédit de personnes dans les fichiers d’incidents de la Banque de France, notamment le fichier d’incidents de remboursement des crédits aux particuliers (FICP)17 et le fichier central des chèques (FCC).

La CNIL a traité un nombre record de notifications de violations de données personnelles : 6 158 notifications en 2021, une augmentation de près de 80 % par rapport à l’année précédente, en raison d’une très forte croissance des attaques informatiques, notamment les attaques par rançongiciels, constituant la première menace cyber pour les entreprises, les collectivités locales et les organismes publics . La CNIL estime cependant que de nombreuses violations restent non notifiées.Les PME et les micro-entreprises représentent 69 % des notifications, qui font majoritairement l’objet de piratage informatique (68 %).

Enfin, la CNIL a prononcé deux sanctions publiques à l’encontre du ministère de l’Intérieur, concernant l’utilisation illicite de drones et une mauvaise gestion du fichier automatisé des empreintes digitales (FAED).

   

Commentaires

Aucun commentaire

Ecrire un commentaire

Pour écrire un commentaire vous devez vous connecter à votre compte.

Si vous n'avez pas encore de compte nous vous invitons à vous inscrire gratuitement.

A lire