La Commission nationale de l’informatique et des libertés (Cnil) a publié mercredi son 42e rapport d’activité, consacré à l’année 2021. Le gendarme français du numérique, chargé entre autres de veiller au respect de la loi en matière de protection des données personnelles, a reçu au cours de l’année dernière 14 143 plaintes, soit une augmentation de 4 % par rapport à 2020. La Commission a procédé à 384 contrôles, et prononcé 18 sanctions, pour un montant total de plus de 214 millions d’euros d’amende. Une somme historique depuis la création de cet organisme en 1978.
Les pratiques non conformes à la réglementation sur les cookies
Quatre de ces sanctions concernaient une mauvaise gestion des « cookies ». Pour rappel, les cookies sont de petits traceurs, installés sur le terminal d’un utilisateur (ordinateur, smartphone…), par les sites internet consultés. Ils mémorisent certaines informations liées à l’internaute (identifiants, langue d’affichage, pages consultées, etc.) en vue d’une prochaine connexion. Depuis le 1er avril 2021, la Cnil impose une nouvelle réglementation en la matière ; les internautes doivent notamment avoir la possibilité de refuser facilement l’installation de ces fameux cookies lorsqu’ils arrivent sur un site internet. « En 2020, nous avions posé un cadre clair, accompagné, et donné du temps à la mise en conformité. En 2021, les pratiques non conformes ont été sanctionnées, afin de garantir que chaque utilisateur de site web soit en mesure d’effectuer un choix réel et éclairé quant à la collecte de ses données en ligne », indique le rapport de la commission.
C’est à ce titre qu’elle a prononcé deux amendes d’un montant total de 150 millions d’euros à l’encontre de Google, et une amende de 60 millions d’euros à l’encontre de Facebook. « La Cnil a relevé que si les sites proposent un bouton permettant d’accepter immédiatement les cookies, ils ne mettent pas en place de solution équivalente (bouton ou autre) pour permettre à l’internaute de refuser facilement le dépôt de ces cookies », explique le rapport. Le 27 juillet dernier, c’est Le Figaro qui s’est vu infliger par la Cnil une amende de 500 000 euros en raison du dépôt de cookies publicitaires sans consentement des internautes. Une amende similaire a été prononcée contre Bricoprive.com, un site de ventes privées dédiées au bricolage.
En tout, la commission a contrôlé 92 sites web « à forte affluence », pour la majeure partie des acteurs privés, « afin de s’assurer de l’absence de dépôt de cookies sur le terminal de l’internaute avant tout accord et du respect de l’obligation de recueillir un consentement libre. »
Rappels à l’ordre pour le ministère de l’Intérieur
Parmi les autres sanctions importantes prononcées en 2021 par la commission, citons l’amende de 1,75 million d’euros à l’encontre d’AG2R LA MONDIALE pour avoir manqué à deux obligations fondamentales prévues par le Règlement général sur la protection des données (RGPD), le texte européen qui encadre le traitement des données personnelles dans l’Union européenne. Autre manquement au RGPD, celui du géant américain de la biochimie, Monsanto, puni d’une amende de 400 000 euros dans l’affaire du fichage illégal de personnalités à des fins de lobbying. Fin octobre, la Cnil a prononcé une sanction identique à l’encontre de la RATP pour avoir utilisé des informations non nécessaires au fichage de ses agents.
En outre, deux sanctions en 2021 visaient le ministère de l’Intérieur pour une utilisation illicite de drones équipés de caméras durant le premier confinement, mais aussi pour une mauvaise gestion du fichier automatisé des empreintes digitales (FAED). « Il a été relevé que le FAED contient des données non prévues par les textes telles que par exemple le nom d’une victime ou le numéro d’immatriculation d’un véhicule. En outre, des données y sont conservées pour une durée excédant celle prévue par les textes et les mentions relatives à des personnes ayant bénéficié d’un acquittement, d’une relaxe, d’un non-lieu ou d’un classement sans suite y sont enregistrées alors que les fiches les concernant devraient en principe être effacées », note la Cnil. Toutefois, ne pouvant pas prononcer d’amendes à l’encontre de l’Etat, la commission s’est contentée de rappels à l’ordre.
Les données de santé ciblées par les « rançongiciels »
En 2021, dans la foulée de la crise sanitaire et du déploiement du passe sanitaire, puis vaccinal, la Cnil indique avoir porté une attention toute particulière aux données de santé. « L’année 2021 a été marquée par des projets numériques en santé d’envergure nationale qui ont eu - ou vont - avoir un impact significatif sur les acteurs publics et privés ainsi que sur la société dans son ensemble. Entre la crise sanitaire qui a nécessité d’adapter en continu les systèmes d’information créés pour lutter contre l’épidémie, le déploiement de la feuille de route du numérique en santé, les divers projets de recherche en santé, les sujets ont été variés et sources de défis majeurs », peut-on lire dans le rapport.
La commission a rendu 16 avis auprès des pouvoirs publics sur le traitement des données impliquées dans la mise en œuvre des politiques de lutte contre le covid-19, et procédé à 29 contrôles dans ce domaine. Le rapport redit les préoccupations de la Cnil quant au risque d’accoutumance et de banalisation des dispositifs dérogatoires, susceptibles d’accompagner un glissement vers une société du contrôle.
Le 4 octobre 2021, la commission a notamment mis en demeure la société Francetest, à l’origine d’une plateforme qui permet aux pharmaciens de transférer les résultats des tests de dépistage du covid-19 vers le fichier SI-DEP où sont répertoriés les cas positifs. Des insuffisances en matière de sécurité ont conduit à une violation des données de 386 970 personnes. Les informations exposées comportaient leur nom, prénom, adresse e-mail, numéro de téléphone, date de naissance, résultat du test et numéro de sécurité sociale.
De manière globale, la Cnil a enregistré 50 37 notifications de violations de données, soit une hausse de 79 % par rapport à 2021. Là encore, un nombre record. Dans ce domaine, le rapport souligne la très forte croissance des attaques informatiques. Ainsi, plus de la moitié des signalements de violations de données, soit 3 000 notifications, sont la conséquence d’un piratage. 2 150 signalements résultent d’attaques de type rançongiciels, un procédé par lequel le hacker aspire ou crypte les données de sa victime, et menace ensuite de les rendre publiques si celle-ci ne paye pas une rançon. Ce type d’attaque a plus que doublé par rapport à 2020, et un quart d’entre elles ont ciblé le secteur de la santé et de l’action sociale. Les PME et les microentreprises en sont les principales victimes, souvent par manque de moyens.
Vidéosurveillance au travail
Par ailleurs, la Cnil pointe la relative méconnaissance d’une partie du monde de l’entreprise des obligations en matière de données personnelles. Le rapport indique que 83 % des plaintes « relatives à la surveillance des salariés concernent des dispositifs de vidéosurveillance au travail. » « En général, ces plaintes visent des entreprises de taille réduite qui ne disposent ni d’un service juridique, ni du soutien d’un délégué à la protection des données. L’action de la Cnil vise donc à les informer de leurs obligations afin qu’elles se mettent en conformité », explique la commission.
Hasard du calendrier, le Sénat a rendu public ce mercredi un rapport d’information sur la vidéosurveillance augmentée et la reconnaissance biométrique, pointant les insuffisances du cadre juridique actuel face au développement de ces technologies, et la nécessité de lister des cas d’usage envisageables (lutte contre le terrorisme, évènements sportifs, recherche scientifique, etc.) tout en fixant un certain nombre de lignes rouge. La Chambre haute propose également de renforcer le rôle de gendarme de la Cnil, « bien au-delà de ce qu’elle fait aujourd’hui », a précisé le corapporteur LR Marc-Philippe Daubresse lors d’une conférence de presse.
» Lire notre article - Reconnaissance faciale : le Sénat plaide pour une loi d’expérimentation
