Publication du rapport de la CNIL : focus sur les contrôles

Publié le - Mise à jour le

Voir toutes les actualités

 

Dans son 41ème rapport d’activité 2020 publié le 18 mai 2021 sur son site internet, la CNIL fait le bilan de son activité en 2020 et en particulier sur les contrôles réalisés auprès d’organismes publics et privés dans un contexte inédit de crise sanitaire.

Pour en savoir plus

  • CNIL. 41ème Rapport d’activité - 2020

 

En 2020, la CNIL a réalisé 247 procédures formelles de contrôle (contre 300 en 2019) dont 82 contrôles en ligne, 74 contrôles sur pièces, 72 contrôles sur place (dans les locaux de l’organisme) et 19 contrôles sur audition (dans les locaux de la CNIL). La CNIL a également effectué 56 vérifications suite à des signalements de violations de données personnelles.

Force est de constater une évolution de la typologie des contrôles de la CNIL. Ainsi, au vu des confinements successifs, les contrôles inopinés de la CNIL sur place ont diminué représentant 29% de ses contrôles en 2020 contre 56% en 2019 alors que ses contrôles en ligne (34% en 2020 contre 17% en 2019) et ses contrôles sur pièces (29% en 2020 contre 15% en 2019) ont augmenté.

La CNIL a également communiqué sur l’origine de ses contrôles. Ainsi, 13585 plaintes ont été reçues par la CNIL en 2020, à l’origine de 40% des contrôles. 32 % des contrôles sont à l’initiative de la CNIL notamment au vu de l’actualité, 15 % des contrôles sont issus de son programme annuel et enfin 3% des contrôles sont réalisés suite à des mises en demeure ou des procédures de sanction. C’est la tendance constatée depuis plusieurs années mais ce qui a changé en 2020 ce sont bien entendu les contrôles (10 %) effectués dans le cadre de la lutte contre le virus du Covid 19 et notamment de l’application StopCovid devenue TousAnticovid, des traitements SI-DEP et Contact Covid.

Par ailleurs, comme à son habitude, le rapport d’activité de la CNIL fait état des contrôles réalisés l’année précédente :

S’agissant de la sécurité des données de santé, ont été contrôlés des établissements de santé et fournisseurs de services à destination des professionnels de santé et des patients et plus particulièrement sur la question de l’accès au dossier patient informatisé au sein de CHU, sur les logiciels de prise de rendez vous en ligne et sur les data brokers de santé. Des contrôles ont été également menés au regard des traitements mis en œuvre dans le cadre de la crise sanitaire.

S’agissant des nouveaux usages des données de géolocalisation, ont été contrôlés des organismes proposant des services de proximité (services de conciergerie de proximité, mise en relation entre particuliers pour de l’aide à domicile et travaux etc.) ainsi que des services innovants en matière de mobilité (services de location de véhicules partagés, de vélos en location longue durée etc.).

Enfin, s’agissant des contrôles sur les cookies et traceurs réalisés en 2020, les organismes contrôlés l’ont été au regard de l’information des personnes, du recueil du consentement et de la prise en compte de l’opposition ou du retrait du consentement. Certains contrôles ont d’ailleurs déjà entrainé des sanctions telles que les sociétés Amazon et Google condamnées respectivement à 35 millions d’euros d’amende et 100 millions d’euros d’amende par la CNIL. Cette thématique de contrôles a été reconduite par la CNIL en 2021 suite aux lignes directrices modificatives et à sa recommandation du 1er octobre 2020 sur les cookies.

La CNIL a prononcé l’année dernière 14 sanctions comportant 11 amendes administratives d’un montant total de 138 489 300 euros et 5 injonctions sous astreinte, 49 mises en demeure de se mettre en conformité notamment au RGPD et à la directive ePrivacy, 38 rappels à l’ordre et 2 avertissements. Enfin, 14 projets de décision ont été soumis à la CNIL par différentes autorités de protection des données dans le cadre de la coopération européenne et une première sanction a été prononcée en coopération avec les autres autorités de protection des données européennes dans le cadre de la procédure du « guichet unique ».

Rappelons que les thématiques de contrôle pour 2021 annoncées par la CNIL en mars 2021 sont la cybersécurité des sites web, la sécurité des données de santé et le respect de la règlementation sur les cookies.

La CNIL a indiqué dans un communiqué du 25 mai 2021 qu’elle avait mis en demeure une vingtaine d’organismes (principalement d’importantes sociétés de l’économie numérique) aux fins qu’ils se conforment dans le mois à la règlementation en vigueur sur les cookies en rappelant qu’à défaut, elle pouvait prononcer des sanctions pécuniaires qui peuvent s’élever dans ce cas à 10 millions d’euros ou à 2% du chiffre d’affaires annuel mondial dans le cas d’une entreprise.

 

Dans son communiqué du 3 juin 2021, la CNIL a précisé qu’elle entendait de nouveau effectuer des contrôles dès le mois de juin 2021 des traitements de données personnelles accompagnant la lutte contre le virus du Covid 19.

 

Vanessa Younès-Fellous, avocate en droit de la protection des données personnelles et formatrice Lefebvre Dalloz

Découvrez notre formation pour devenir élégué à la protection des données personnelles

 

Formations qui pourraient vous intéresser

tealium