Bilan annuel 2021 de la CNIL : Sécurité, Conformité, Contrôle

Bilan annuel 2021 de la CNIL : Sécurité, Conformité, Contrôle

Par Gérard Haas, Anne Charlotte Andrieux et Vickie Le Bert

La CNIL a publié son 42ème rapport annuel, l’occasion pour elle de revenir sur les temps forts et les actions phares de l’année 2021.

Le bilan dressé par l’Autorité met en lumière une période de forte intensité, marquée notamment par un accroissement des mesures répressives et un renforcement des actions en matière de cybersécurité.

Au travers des quatre grands axes d’activité dégagés par la CNIL, retour sur les chiffres marquants de l’année 2021 :

Protection des citoyens : le traitement des plaintes

Le traitement des plaintes représente une partie importante de l’activité de la CNIL. Depuis l’entrée en vigueur du RGPD, l’Autorité a par ailleurs constaté une prise de conscience générale des enjeux liés à la protection des données par les citoyens, se traduisant par une implication grandissante de ces derniers pour le respect de leurs droits.

Conséquence de cette prise de conscience, la CNIL annonce dans son rapport avoir reçu près de 14 143 plaintes au cours de l’année 2021, un chiffre en hausse de 4% par rapport à l’année précédente.

Sur l’ensemble de ces plaintes, 12 522 d’entre elles ont été clôturées, 5 848 ont fait l’objet d’une réponse rapide et 8 295 ont nécessité une étude approfondie et des investigations poussées.

En cohérence avec les thématiques prioritaires de contrôle dégagées pour l’année 2020, la CNIL rapporte que l’année 2021 a été marquée par une mobilisation importante de ses équipes sur le sujet des cookies et autres traceurs :

Plus de 250 plaintes, ayant par ailleurs permis de mettre en cause les sites internet manquant à leurs obligations, ont en effet été reçues sur le sujet.

La CNIL annonce également avoir reçu de nombreuses plaintes en matière de prospection commerciale, nouvel axe prioritaire de contrôle dégagé par la CNIL pour 2022 :

Sur les 973 plaintes reçues en la matière, 38% d’entre elles concernaient la publicité par courrier électronique, 29% la publicité par SMS, 20% la publicité par voie postale et enfin 13% par téléphone.

Les motifs principaux de plainte en matière de prospection commerciale portaient, pour l’essentiel, sur les difficultés rencontrées par les plaignants à rendre effective leur opposition à recevoir de la prospection commerciale.

Renforcement de la sécurité : la croissance exponentielle du nombre de notifications de violations de données personnelles

A l’occasion de son bilan annuel, la CNIL nous apprend que l’année 2021 a été marquée par un nombre record de notifications de violations de données personnelles.

Rappelant que la sécurité des données personnelles constitue un enjeu majeur pour l’ensemble des organismes et pour les individus, elle constate qu’aujourd’hui, c’est l’ensemble des secteurs qui est concerné par la problématique des violations de données.

Malgré ce constat, certains secteurs restent plus touchés que d’autres : l’on retrouve à la tête de ce palmarès les organismes du secteur des activités spécialisées, scientifiques et techniques, ceux de la santé et de l’action sociale, les administrations publiques et enfin les entreprises du secteur financier et assurance. A eux quatre, ces secteurs représentent près de 60% des notifications reçues en 2021.

Au total, la CNIL a ainsi enregistré 5 037 notifications de violation de données sur l’année, soit une hausse impressionnante de 79% par rapport à 2020.

Les raisons de cette croissance fulgurante du nombre de notifications ?

  • Un nombre toujours plus important d’attaques informatiques, notamment par rançongiciels
  • Une meilleure appropriation du mécanisme de notification par les personnes concernées
  • Des phénomènes de vagues massives de notifications, liées à l’ampleur de violations de données (la CNIL a pu recevoir près de 300 notifications en une seule journée)

Sur l’ensemble des notifications reçues, près de 3 000 d’entre elles résultaient d’une cyber-attaque (soit 6 notifications sur 10), soit une hausse, une fois encore impressionnante, de 128% par rapport à 2020.

La CNIL relève que dans 43% des cas (pour 20% en 2020), les attaques informatiques notifiées consistaient en une attaque par rançongiciel, première menace cyber pour les entreprises, collectivités locales et organismes publics.

L’Autorité constate à ce titre une évolution des rançongiciels utilisés par les pirates. Classiquement, les rançongiciels se définissent comme des programmes malveillants empêchant l’accès de la victime à ses données au moyen d’un procédé de cryptage mis en œuvre par le pirate, qui réclame par la suite une rançon. En 2021, l’utilisation de rançongiciels opérant l’exfiltration des données personnelles de la victime, et non plus simplement leur blocage, s’est intensifiée.

Autre chiffre inquiétant : sur les 2 150 notifications de violations de données dues à l’usage d’un rançongiciel, un quart d’entre elles émanaient d’organismes du secteur de la santé et de l’action sociale.

La concrétisation des axes de contrôle dégagés par la CNIL

Les contrôles que mène la CNIL tout au long de l’année s’articulent autour de problématiques prioritaires annuelles, identifiées sur la base de thèmes d’actualités ou des plaintes dont elle est saisie.

En 2021, l’Autorité a mené 384 opérations de contrôle. Ce chiffre, en hausse de 55% par rapport à 2020, s’explique en partie par la reprise des contrôles sur place et auditions, fortement empêchés en plein cœur de l’épidémie de Covid-19.

La CNIL a poursuivi ses contrôles dans la lignée des axes prioritaires de contrôle dégagés en 2020, et repris en 2021 :

Les mesures de sécurité mises en œuvrepar les structures de soins, par les professionnels de santé ou pour leur compte et par les sociétés prestataires de service du domaine de la santé

La CNIL a mené 30 opérations de contrôle dans le domaine de la santé, dirigés contre 22 organismes de nature diverse : laboratoires d’analyses médicales, hôpitaux, prestataires et data brokers en données de santé.

Elle a également poursuivi sa mission de contrôle des traitements mis en œuvre à des fins de gestion de l’épidémie de Covid-19.

Dans ce cadre, l’Autorité a mené trois séries de vérifications auprès des acteurs concernés :

  • Contrôle de la robustesse du chiffrement de certaines données
  • Contrôle de la sécurisation de l’accès aux comptes utilisateurs (robustesse des mots de passe)
  • Vérification des mesures mises en place face aux rançongiciels des suites d’une violation de données

La conformité des acteurs concernés à la règlementation relative aux cookies et autres traceurs

A la suite de la publication, en 2020, de ses lignes directrices et recommandations sur les cookies et autres traceurs, la CNIL avait accordé aux acteurs concernés une période de tolérance pendant laquelle ces derniers étaient invités à se mettre en conformité.

A l’issue de cette période, la CNIL a initié trois séries de contrôles en ligne, dirigés à l’encontre de 92 sites web d’importance.

Ces contrôles, dont l’objectif était de s’assurer de l’absence de dépôt de cookies sur le terminal de l’internaute en l’absence d’accord et du respect de l’obligation de recueil de consentement, ont été suivis par l’envoi de mises en demeure. Quatre sanctions ont également été prononcées contre des acteurs pour mauvaise gestion des cookies et autres traceurs.

Une activité répressive en forte hausse

L’année 2021 aura enfin été marquée par des sanctions exemplaires, tant par leur nombre, que par le montant des amendes prononcées :

  • 18 sanctions
  • 135 mises en demeure prononcées
  • Un montant cumulé des amendes s’élevant à 214 millions d’euros.

Sur les 18 sanctions prononcées, près de la moitié était en lien avec la sécurité des données personnelles. Parmi les manquements constatés par l’Autorité ayant fait l’objet de sanctions, les plus fréquents découlaient d’un défaut d’information des personnes et de l’existence de durées de conservation excessives.

La CNIL en tire le constat suivant : les mesures de sécurité prises par les organismes restent insuffisantes. La CNIL en profite pour rappeler que, quelle que soit la nature du contrôle mené, la sécurité des systèmes d’information est systématiquement vérifiée.

Enfin, le nombre de mises en demeure émises par la CNIL est également en hausse. Sur les 135 décisions prononcées, seules deux ont toutefois été rendues publiques :

  • Celle contre la société Clearview, l’enjoignant de cesser la pratique consistant à réutiliser des images rendues accessibles sur internet ;

  • Celle contre la société Francetest pour sécurisation insuffisante des données de santé.

La CNIL expose enfin qu’une part importante des décisions de mises en demeure prononcées portait sur la thématique prioritaire des cookies. En effet, sur les 135 décisions prononcées, 89 d’entre elles concernaient un manquement en lien avec l’utilisation de traceurs.

***

Au regard de l’intensification des contrôles et du renforcement de la politique répressive de la CNIL, les organismes dont l’activité est concernée par les nouvelles thématiques prioritaires de contrôle pour l’année 2022 que sont la prospection commerciale, les outils de surveillance dans le cadre du télétravail et l’utilisation de l’informatique en nuage, doivent accorder une attention et s’assurer de la conformité de leurs traitements et pratiques avec la législation en vigueur.

***

Le Cabinet HAAS Avocats, fort de son expertise depuis plus de vingt-cinq ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit et notamment en matière de protection des données personnelles. Si vous souhaitez avoir plus d’informations au regard de la réglementation en vigueur, n’hésitez pas à faire appel à nos experts pour vous conseiller. Pour en savoir plus, contactez-nous ici.

Gérard HAAS

Auteur Gérard HAAS

Suivez-nous sur Linkedin