Le 42ème rapport d’activités de la CNIL est là !
Ça y est, la CNIL a publié son 42ème rapport d’activités annuel relatant ses faits RGPD marquants pour l’année 2021. Que peut-on en retenir ? Quels ont été ses temps forts ? On essaie de vous résumer tout ça. Au sein de notre humble résumé du rapport d’activités RGPD 2022 de la CNIL, nous vous proposons de revoir les chiffres clés de l’année 2021, un rapide coup d’œil au sujet des notifications de violations, la palme des sanctions RGPD, les 3 temps forts du l’année 2021.
Le rapport d’activités de la CNIL rapporte les chiffres clés de l’année 2021
- En 2021, 81 393 organismes ont désigné un délégué à la protection des données, soit 28 810 délégués à la protection des données, ce qui représente une augmentation de 13% par rapport à l’année 2020. Est-ce que ces chiffres marquent une réelle prise de conscience par rapport à la nécessité de désigner un acteur chargé de la conformité ? Pas nécessairement. Par contre, la CNIL nous le rappelle dans une publication toute récente, le métier de DPD est en forte évolution !
- On peut observer une augmentation significative du nombre de contrôles effectués (de 247 en 2020 à 384 pour 2021), même si le nombre de sanctions prononcées lui ne bouge pas beaucoup (de 14 à 18).
- Côté plaintes des personnes concernées, les tendances semblent rester les mêmes avec une faible augmentation de 4%. La majorité des plaintes continue d’ailleurs de concerner le secteur d’internet et des télécoms (30% des plaintes) et le secteur du commerce (21%) suivi de près par le travail (18%).
- Mais ce ne sont pas là les chiffres les plus impressionnants ! En 2021, la CNIL a reçu 5 037 notifications de violations de données : c’est 79% de plus que 2020 !
Un rapide coup d’œil sur la question des notifications de violation.
Pourquoi le nombre de notifications a-t-il drastiquement augmenté ? Dans son rapport d’activités, la CNIL cite trois raisons :
- Une forte croissance des attaques informatiques : on vous en parle régulièrement, la menace cyber est présente comme jamais. Pourquoi ? Pour beaucoup, la période de confinement et de déploiement du télétravail a été une période particulièrement opportune pour les cyberattaquants. Il faut donc rester vigilant pour limiter les risques de cyberattaques !
- Une prise de conscience des acteurs : la notification pouvait en rendre plus d’un soucieux. Si je notifie la CNIL, va-t-elle venir me contrôler ? La réponse à cette question est généralement non. Ce qui intéresse aussi la CNIL c’est de voir que les entreprises sont capables de détecter des incidents, les qualifier de violations de données, trouver des solutions et procéder aux notifications obligatoires le cas échéant. Cette prise de conscience est donc parfaitement louable car elle montre bien que beaucoup d’acteurs ont commencé à définir et à mettre en œuvre des processus internes permettant de détecter et de réagir face aux violations de données personnelles.
- Des notifications par vague : souvenez-vous, l’année 2021 c’est l’année de l’incendie OVH mais c’est aussi l’année de la fuite massive de données de santé qui a mis en cause la société DEDALUS. Deux évènements importants qui ont touché deux sous-traitants. C’est donc leurs nombreux clients (les responsables de traitements) qui ont procédé aux notifications obligatoires auprès de la CNIL, faisant ainsi grimper les chiffres.
Bien que ce chiffre nous semble impressionnant, la CNIL note tout de même que de nombreuses violations resteraient non-notifiées… Rappelons-le, le défaut de notification constitue bel et bien un manquement aux obligations du RGPD et par conséquent c’est sanctionnable. En outre, si les violations ne sont pas détectées et prises en compte à temps, le risque ne sera pas uniquement la sanction mais bien ceux rattachés à une perte d’activités, perte de clients, etc. Donc on vous le répète : soyez vigilants.
Pour 2021, la palme des sanctions RGPD revient à :
- Google se retrouve en pôle position des sanctions et écope d’une sanction pécuniaire de 150 millions d’euros pour ne pas avoir respecté (entre autres) les règles applicables en matière de cookies : sujet chéri de la CNIL en 2021 ;
- Facebook suit son homologue GAFA avec une sanction de 60 millions d’euros d’amende pour la même raison que Google (cela vous surprend ? Nous non plus.)
- Et enfin, l’assurance AG2R pour le non-respect du principe de limitation des durées de conservation mais surtout pour celui du défaut d’information, les rejoint sur le podium en troisième position avec une amende de 1 750 000 euros.
Curieux de découvrir toutes les sanctions de 2021 ? Jetez donc un œil ici. 😉
Selon le rapport d’activités de la CNIL, les 3 temps forts RGPD en 2021 qui ont retenu l’attention sont :
- Le premier bac à sable d’accompagnement renforcé
La CNIL a mis en place un premier bac à sable d’accompagnement renforcé dans le domaine de la santé.
Ainsi, elle permet de promouvoir des solutions respectueuses dès la conception dans le domaine de la santé.
La CNIL a ainsi retenu 4 projets qu’elle a décidé d’accompagner tout au long de l’année 2021. Nous vous invitons à les découvrir par vous-même ici.
- Premier code de conduite
Cet événement a longtemps été attendu, Le 3 juin 2021, la CNIL a approuvé le premier code de conduite européen. Celui-ci est dédié aux fournisseurs de services d’infrastructure cloud. On vous en parlait d’ailleurs dans cet article.
- Et enfin, les actions de la CNIL concernant la problématique cookie
Vous avez certainement vu passer les nombreuses sanctions sur la thématique “cookie”. Ce n’était pas un coup de buzz, ni un temps fort à durée déterminé mais bel et bien une action sur le long terme. Le sujet des cookies va continuer de nous intéresser en 2022.
On ne vous cachera pas que le temps fort qui a retenu le plus notre attention c’est celle des 101 dalmatiens… ou plutôt celle des 101 sites web qui nous a permis de vous faire un topo sur les transferts de données hors Union européenne et vous rappeler quelques règles en matière de cookie. Mais comme qui dirait : « c’est pas fini ! »
A quoi faut-il s’attendre pour 2022 dans le cadre du RGPD ?
- A ce que la CNIL continue son action de répression contre l’utilisation de cookie non-conforme (après Analytics viendra probablement le tour de Facebook connect) ;
- A des contrôles plus nombreux concernant l’utilisation du cloud, les activités de prospection, et également concernant l’utilisation de nouveaux outils pour encadrer le télétravail ; c’est ce qu’elle a annoncé dans ses thématiques prioritaires pour 2022.
Mais également, à ce que la CNIL reste active dans ses missions d’accompagnement : un nouveau projet de bac à sable a d’ailleurs été annoncé ainsi que l’organisation de la première édition du Privacy Research Day !
Et pour vous ? Quels ont été les évènements les plus marquants de l’année 2021 ?