Que dit le rapport d’activité de la CNIL pour 2021 ?

La CNIL a publié le 11 mai son rapport annuel d’activité pour l’année 2021. Entre Covid-19, attention portée sur les problématiques de cookies et inquiétude face aux transferts de données internationaux, Witik décortique les efforts du gendarme du RGPD en France sur l’année.

L’année 2021 en bref

En quelques chiffres, la CNIL a reçu 14 143 plaintes en 2021, soit 4% de plus qu’en 2020. Elle en a également clôturé 12 522. Parmi ces plaintes déposées à la CNIL, 973 concernaient la prospection ou le démarchage, qu’il s’agisse d’acteurs commerciaux, associatifs ou politiques. 1 436 plaintes ont été déposées relativement au droit d’accès.

Pour rappel, le droit d’accès est imposé par le RGPD comme un des droits des utilisateurs qui leur permet de prendre connaissance du contenu des informations collectées sur eux par une entreprise ou un organisme.

Côté sanctions, la CNIL a émis 135 mises en demeure, mais surtout un montant record d’amendes puisque le total des sanctions financières prises par l’autorité de contrôle atteint les 214 millions d’euros, une première dans son histoire.

Source : CNIL

2021, année Covid-19

Sans surprise, l’épidémie de Covid-19 a eu un impact sur l’activité de la CNIL.

Dans ce contexte, la CNIL a rendu 16 avis sur le volet données des projets de lois et décrets liés à la lutte contre l’épidémie, dont l’application TousAntiCovid, par exemple.

L’autorité a également traité 576 dossiers d’autorisation de santé et délivré 54 autorisations de recherche sur la Covid-19.

Source : CNIL

Un contrôle renforcé dans le domaine des cookies

La lutte contre les manquements aux exigences du RGPD en matière de cookies était une des thématiques prioritaires de la CNIL pour l’année 2021. Ainsi, 89 des 135 mises en demeure émises l’ont été pour un manquement en lien avec l’utilisation des traceurs et autres cookies. De même, 4 sanctions ont été prononcées dans ce domaine.

Cette attention particulière portée par la CNIL dans ce domaine fait suite aux évolutions réglementaires ayant renforcé le contrôle du recueil des consentements et l’utilisation des cookies sur les sites web en 2020. Après une période laissée aux entreprises pour s’adapter à ces changements de la réglementation RGPD sur les cookies, la CNIL est donc passée à l’action en 2021 et a commencé à prononcer des sanctions contre les entreprises présentant des manquements.

Source : CNIL

La question des transferts de données à l’international

La CNIL et plus généralement les acteurs de la protection des données en Europe sont particulièrement préoccupés par les questions soulevés par les transferts de données massifs vers des pays hors UE. Notamment, le pouvoir des GAFAM et leur capacité à capter les données des citoyens européens pose problème.

On peut citer notamment la décision de la CNIL prise en février 2022 et qui fait suite à l’arrêt dit “Schrems II” de la Cour de Justice de l’Union Européenne. Sans entrer ici dans les détails, la CNIL, à la suite de certains homologues européens (notamment en Autriche), pointe les manquements à la sécurité liés à l’utilisation de Google Analytics.

Plus généralement, la CNIL a participé à de nombreux travaux européens et internationaux pour renforcer la sécurité des données des personnes physiques et construire une souveraineté numérique pour les Etats et l’UE.

Cette année 2021 est donc une des plus actives pour la CNIL, en tout cas en termes de nombre de plaintes et de dossiers traités et de montant global d’amendes prononcées. Le durcissement progressif du gendarme du RGPD se confirme donc, renforçant encore la nécessité pour les entreprises de mettre leur conformité au RGPD au coeur de leurs préoccupations.