Blog Données personnelles
La CNIL publie son rapport d’activité pour l’année 2021
Publié ce jour, le rapport annuel de la Commission nationale informatique et libertés constitue un résumé des travaux réalisés par la CNIL sur l’année 2021. Sur le front répressif, les plaintes n’ont jamais été aussi nombreuses et la CNIL a redoublé d’efforts en 2021 pour contrôler un grand nombre d’acteurs. En matière d’accompagnement, la Commission met en avant son action suite à l’invalidation du Privacy Shield et son rôle dans le développement d’une souveraineté numérique européenne. La CNIL fait également état de ses réflexions sur l’utilisation de l’intelligence artificielle.
Un nombre de plaintes stable, augmentation des violations de données et une activité de contrôle renforcée
La CNIL a traité en 2021 14 143 plaintes, contre 13 585 en 2020. Depuis 2018, la CNIL reçoit en effet un nombre très important de saisines, dont une partie significative est clôturée (12 522 plaintes clôturées en 2021). Afin de faire face au risque de saturation de ses services, qui pourrait affecter l’efficacité de son action, la Commission tente désormais d’externaliser le traitement des saisines les moins complexes (un appel d’offre à cet effet a été publié en mars 2022).
En outre, les agents de la Commission ont procédé à un total de 384 contrôles (contre 247 en 2020), donnant lieu à 135 mises en demeure (contre 49 en 2020) et in fine, à 18 sanctions dont 12 ont été rendues publiques. Ces chiffres démontrent d’une augmentation significative des moyens alloués par la CNIL à l’ensemble de ses activités répressives. Le montant total des amendes administratives infligées s’est élevé à 214 millions d’euros. Notons sur ce dernier point que les sanctions infligées à Google et Facebook en matière de cookies et annoncée le 6 janvier dernier, comptant respectivement pour 150 et 60 millions d’euros, sont comptabilisées sur l’exercice 2021.
L’année 2021 confirme également la montée en puissance des questions de cybersécurité, car 5037 violations de données ont été reçues par la CNIL en 2021, pour une hausse de 79% par rapport à l’année précédente.
D’autres évolutions significatives devraient intervenir en 2022, car comme le souligne le rapport, la CNIL s’est impliquée dans un processus de réforme de ses procédures, cette dernière étant intervenue par le décret du 8 avril 2022. Les modifications apportées à la loi informatique et libertés devraient renforcer l’efficacité des organes répressifs de la Commission et pourraient aboutir à davantage de mises en demeure et de sanctions.
De plus, la Commission rappelle que certains contrôles, notamment en matière de sécurité des données de santé, donnent toujours lieu à des mesures d’instruction.
La question des transferts de données et l’intervention de la CNIL au niveau européen
L’accent a été mis en 2021 sur le rôle de la CNIL dans la régulation internationale et européenne. D’abord confrontée aux difficultés soulevées par l’invalidation du Privacy Shield par l’arrêt Schrems II, la CNIL a agi en accompagnant les acteurs impactés. Elle a notamment concentré son action sur les services de cloud (projets de « cloud de confiance »), particulièrement concernés par la question des accès non-autorisés aux données personnelles des européens.
La Commission revendique également son action auprès du comité européen de la protection des données (CEPD) et notamment sa participation aux travaux réalisés par ce dernier en vue de l’adoption de nouveaux textes significatifs sur le plan européen (DSA, DMA ou Data Governance Act).
La CNIL détaille son approche sur l’intelligence artificielle
Face au développement de nombreux outils reposant sur l’intelligence artificielle, la CNIL souhaite développer une approche équilibrée entre soutien à une filière naissante et respect de la règlementation et des droits fondamentaux. Au cours de l’année 2021, la Commission a poursuivi ses efforts de communication, notamment grâce aux publications de son laboratoire d’innovation numérique (« LINC »). La CNIL mise également sur l’accompagnement et démontre qu’elle est disposée à aider les acteurs intéressés à développer des techniques innovantes et respectueuses de la réglementation (soutien apportée au projet du CHU de Lille en partenariat avec L’Inria).
Au sujet du projet de règlement sur l’intelligence artificielle (« règlement IA ») porté par la Commission européenne, la CNIL souligne que son adoption soulèvera nécessairement la question de son articulation avec le RGPD et donc un fort niveau d’implication de l’autorité. La CNIL pourrait alors se retrouver comme principal régulateur de ces systèmes.
Les perspectives
Rappelons qu’après son premier « bac à sable » organisé en 2021 autour des données de santé, la CNIL organise un dispositif similaire dédié aux outils numériques dans le domaine de l’éducation (« Edtech »). La CNIL accompagnera à cette occasion la conformité de dix projets innovants qu’elle aura sélectionnés, en accord avec sa volonté affichée de mettre en place une méthode de régulation « souple, collaborative et proche du terrain ».
La CNIL prévoit également d’explorer le sujet des données liées à la protection de l’environnement ainsi que les problématiques soulevées par l’utilisation croissante du métavers.
Seront également particulièrement suivies les mises en demeure prononcées par la CNIL aux gestionnaires de sites internet français utilisant la solution Google Analytics, cette dernière ayant été jugée par la Commission contraire au RGPD.
A noter également, la formation restreinte de la CNIL pourrait avoir à se prononcer prochainement sur les résultats d’une autre mise en demeure, celle-ci à l’encontre de la société CLEARVIEW AI, solution de reconnaissance faciale reposant sur la collecte et l’analyse de photos et vidéos librement accessibles sur internet.