Par Romain David
Temps de lecture :
8 min
Publié le
Mis à jour le
La Commission nationale de l’informatique et des libertés (Cnil) a publié mercredi son 42e rapport d’activité, consacré à l’année 2021. Le gendarme français du numérique, chargé entre autres de veiller au respect de la loi en matière de protection des données personnelles, a reçu au cours de l’année dernière 14 143 plaintes, soit une augmentation de 4 % par rapport à 2020. La Commission a procédé à 384 contrôles, et prononcé 18 sanctions, pour un montant total de plus de 214 millions d’euros d’amende. Une somme historique depuis la création de cet organisme en 1978.
Quatre de ces sanctions concernaient une mauvaise gestion des « cookies ». Pour rappel, les cookies sont de petits traceurs, installés sur le terminal d’un utilisateur (ordinateur, smartphone…), par les sites internet consultés. Ils mémorisent certaines informations liées à l’internaute (identifiants, langue d’affichage, pages consultées, etc.) en vue d’une prochaine connexion. Depuis le 1er avril 2021, la Cnil impose une nouvelle réglementation en la matière ; les internautes doivent notamment avoir la possibilité de refuser facilement l’installation de ces fameux cookies lorsqu’ils arrivent sur un site internet. « En 2020, nous avions posé un cadre clair, accompagné, et donné du temps à la mise en conformité. En 2021, les pratiques non conformes ont été sanctionnées, afin de garantir que chaque utilisateur de site web soit en mesure d’effectuer un choix réel et éclairé quant à la collecte de ses données en ligne », indique le rapport de la commission.
C’est à ce titre qu’elle a prononcé deux amendes d’un montant total de 150 millions d’euros à l’encontre de Google, et une amende de 60 millions d’euros à l’encontre de Facebook. « La Cnil a relevé que si les sites proposent un bouton permettant d’accepter immédiatement les cookies, ils ne mettent pas en place de solution équivalente (bouton ou autre) pour permettre à l’internaute de refuser facilement le dépôt de ces cookies », explique le rapport. Le 27 juillet dernier, c’est Le Figaro qui s’est vu infliger par la Cnil une amende de 500 000 euros en raison du dépôt de cookies publicitaires sans consentement des internautes. Une amende similaire a été prononcée contre Bricoprive.com, un site de ventes privées dédiées au bricolage.
En tout, la commission a contrôlé 92 sites web « à forte affluence », pour la majeure partie des acteurs privés, « afin de s’assurer de l’absence de dépôt de cookies sur le terminal de l’internaute avant tout accord et du respect de l’obligation de recueillir un consentement libre. »
Parmi les autres sanctions importantes prononcées en 2021 par la commission, citons l’amende de 1,75 million d’euros à l’encontre d’AG2R LA MONDIALE pour avoir manqué à deux obligations fondamentales prévues par le Règlement général sur la protection des données (RGPD), le texte européen qui encadre le traitement des données personnelles dans l’Union européenne. Autre manquement au RGPD, celui du géant américain de la biochimie, Monsanto, puni d’une amende de 400 000 euros dans l’affaire du fichage illégal de personnalités à des fins de lobbying. Fin octobre, la Cnil a prononcé une sanction identique à l’encontre de la RATP pour avoir utilisé des informations non nécessaires au fichage de ses agents.
En outre, deux sanctions en 2021 visaient le ministère de l’Intérieur pour une utilisation illicite de drones équipés de caméras durant le premier confinement, mais aussi pour une mauvaise gestion du fichier automatisé des empreintes digitales (FAED). « Il a été relevé que le FAED contient des données non prévues par les textes telles que par exemple le nom d’une victime ou le numéro d’immatriculation d’un véhicule. En outre, des données y sont conservées pour une durée excédant celle prévue par les textes et les mentions relatives à des personnes ayant bénéficié d’un acquittement, d’une relaxe, d’un non-lieu ou d’un classement sans suite y sont enregistrées alors que les fiches les concernant devraient en principe être effacées », note la Cnil. Toutefois, ne pouvant pas prononcer d’amendes à l’encontre de l’Etat, la commission s’est contentée de rappels à l’ordre.
En 2021, dans la foulée de la crise sanitaire et du déploiement du passe sanitaire, puis vaccinal, la Cnil indique avoir porté une attention toute particulière aux données de santé. « L’année 2021 a été marquée par des projets numériques en santé d’envergure nationale qui ont eu - ou vont - avoir un impact significatif sur les acteurs publics et privés ainsi que sur la société dans son ensemble. Entre la crise sanitaire qui a nécessité d’adapter en continu les systèmes d’information créés pour lutter contre l’épidémie, le déploiement de la feuille de route du numérique en santé, les divers projets de recherche en santé, les sujets ont été variés et sources de défis majeurs », peut-on lire dans le rapport.
La commission a rendu 16 avis auprès des pouvoirs publics sur le traitement des données impliquées dans la mise en œuvre des politiques de lutte contre le covid-19, et procédé à 29 contrôles dans ce domaine. Le rapport redit les préoccupations de la Cnil quant au risque d’accoutumance et de banalisation des dispositifs dérogatoires, susceptibles d’accompagner un glissement vers une société du contrôle.
Le 4 octobre 2021, la commission a notamment mis en demeure la société Francetest, à l’origine d’une plateforme qui permet aux pharmaciens de transférer les résultats des tests de dépistage du covid-19 vers le fichier SI-DEP où sont répertoriés les cas positifs. Des insuffisances en matière de sécurité ont conduit à une violation des données de 386 970 personnes. Les informations exposées comportaient leur nom, prénom, adresse e-mail, numéro de téléphone, date de naissance, résultat du test et numéro de sécurité sociale.
De manière globale, la Cnil a enregistré 50 37 notifications de violations de données, soit une hausse de 79 % par rapport à 2021. Là encore, un nombre record. Dans ce domaine, le rapport souligne la très forte croissance des attaques informatiques. Ainsi, plus de la moitié des signalements de violations de données, soit 3 000 notifications, sont la conséquence d’un piratage. 2 150 signalements résultent d’attaques de type rançongiciels, un procédé par lequel le hacker aspire ou crypte les données de sa victime, et menace ensuite de les rendre publiques si celle-ci ne paye pas une rançon. Ce type d’attaque a plus que doublé par rapport à 2020, et un quart d’entre elles ont ciblé le secteur de la santé et de l’action sociale. Les PME et les microentreprises en sont les principales victimes, souvent par manque de moyens.
Par ailleurs, la Cnil pointe la relative méconnaissance d’une partie du monde de l’entreprise des obligations en matière de données personnelles. Le rapport indique que 83 % des plaintes « relatives à la surveillance des salariés concernent des dispositifs de vidéosurveillance au travail. » « En général, ces plaintes visent des entreprises de taille réduite qui ne disposent ni d’un service juridique, ni du soutien d’un délégué à la protection des données. L’action de la Cnil vise donc à les informer de leurs obligations afin qu’elles se mettent en conformité », explique la commission.
Hasard du calendrier, le Sénat a rendu public ce mercredi un rapport d’information sur la vidéosurveillance augmentée et la reconnaissance biométrique, pointant les insuffisances du cadre juridique actuel face au développement de ces technologies, et la nécessité de lister des cas d’usage envisageables (lutte contre le terrorisme, évènements sportifs, recherche scientifique, etc.) tout en fixant un certain nombre de lignes rouge. La Chambre haute propose également de renforcer le rôle de gendarme de la Cnil, « bien au-delà de ce qu’elle fait aujourd’hui », a précisé le corapporteur LR Marc-Philippe Daubresse lors d’une conférence de presse.
» Lire notre article - Reconnaissance faciale : le Sénat plaide pour une loi d’expérimentation
Société
« Bloquons tout » le 10 septembre : qui la soutient, qui s’en tient à distance ?
Prévue comme un temps fort de la rentrée politique et sociale, la journée d’action du 10 septembre, baptisée “Bloquons tout”, divise syndicats et partis. L’appel, né d’une réaction aux mesures budgétaires annoncées par le Premier ministre François Bayrou, peine encore à rassembler. La gauche politique s’aligne progressivement, mais plusieurs organisations syndicales restent prudentes.
Le
Société
Suppression de jours fériés : « Même un seul jour, ça ne passera pas », selon le sondeur Gaël Sliman
Pour économiser près de 44 milliards d’euros, François Bayrou a annoncé une série de propositions pour le budget 2026. Parmi ces mesures, il propose notamment la suppression de deux jours fériés, et s’oriente vers le lundi de Pâques et le 8 mai. Objectif : 4,2 milliards d’économies. Mais les Français refusent à 84% cette mesure selon un sondage Odoxa (pour le Parisien) . Entretien avec Gaël Sliman, Président d’Odoxa
Le
Société
Interdire la corrida aux mineurs : le combat de Samantha Cazebonne
Considérée comme un « art » par les afficionados, la corrida reste un « acte de cruauté », selon Samantha Cazebonne. La sénatrice Renaissance représentant les Français établis hors de France a rédigé une proposition de loi pour interdire la corrida aux mineurs de moins de 16 ans. Si sa proposition de loi a été rejetée en novembre 2024, la sénatrice poursuit son combat pour protéger les enfants de ce qu’elle considère comme un « acte de barbarie » envers les taureaux.
Le
Société
Le 18 juin dernier, devant les sénateurs de la commission des affaires économiques, l’informaticien et concepteur de l’assistant vocal Siri, Luc Julia a démystifié les idées reçues sur l’intelligence artificielle soulignant le manque de fiabilité et la nécessité de vérification. Retour sur une audition dont la portée a dépassé le palais du Luxembourg et conquis des millions d’internautes sur les réseaux sociaux.
Le
Dans les Alpes-de-Haute-Provence, avec Jean-Yves Roux