Rapport d’activité de la CNIL 2021 : record d’amendes et intensification des contrôles

Record du montant des sanctions et intensification de l’activité répressive

Le rapport d’activité de la CNIL (Commission nationale de l'informatique et des libertés) paru ce jour (lien ici), affiche une augmentation de plus de 55 % du montant des amendes et une intensification des contrôles et de manière globale de l’activité répressive de cette autorité administrative.

2021 était une année record pour la CNIL qui a prononcé un nombre plus important de sanctions (18 au lieu de 14 en 2020), dont 15 amendes d’un montant total de plus de 214 millions d’euros, soit une très forte hausse par rapport à 2020 dont le chiffre atteignait les 138 millions d’euros.

Le rapport d’activité 2021 de la CNIL précise que 384 contrôles ont été effectués, ce qui constitue une nette augmentation par rapport à l’année précédente, au cours de laquelle elle avait procédé à 247 contrôles. De plus, la CNIL a prononcé 2 rappels à l’ordre et 1 liquidation d’astreinte.

La stratégie de contrôle de la CNIL en 2021 était axée sur la cybersécurité, les données de santé et les cookies. Cette année, la Commission a décidé de se focaliser sur le cloud, la prospection commerciale et les outils de surveillance dans le cadre du télétravail. Dans son rapport d’activité, elle affine ses priorités en matière de technologies en indiquant un focus sur les caméras augmentées/intelligentes, les transferts dans le cloud et les applications des smartphones.

Prise de conscience des individus accrue

Les individus sont toujours plus concernés par leurs données personnelles, puisque la CNIL constate une augmentation du nombre de requêtes reçues par mail ou via son site internet par rapport à 2020.

Cette prise de conscience des personnes quant à leurs droits ne faiblit pas et devrait s’accentuer avec la forte transformation numérique mise en œuvre dans tous les secteurs.

Traitement intégral des plaintes

La CNIL indique instruire intégralement l’ensemble des plaintes reçues. En 2021, elle a apporté 5 848 réponses rapides et procédé à 8 295 études approfondies sur les 14 143 plaintes qui lui ont été adressées.

Augmentation considérable des notifications de violation de données

Les cas de destruction, perte, altération ou divulgation accidentels ou non autorisés de données personnelles constituent des violations de données. Lorsqu’elles présentent un risque pour les personnes concernées, elles doivent être notifiées à la CNIL. Dans son rapport, la Commission indique avoir reçu +79 % de notification de violation de données en 2021 par rapport à l’année précédente, soit au total 5037 notifications.

Eventail des sanctions

Pour rappel, la CNIL peut prononcer d’autres types de sanctions administratives qu’une amende :

• Prononcer un rappel à l’ordre
• Enjoindre de mettre le traitement en conformité, y compris sous astreinte (pouvant aller jusqu’à 3 000 euros par jour de retard)
• Limiter temporairement ou définitivement un traitement
• Suspendre des flux de données
• Ordonner de satisfaire aux demandes d'exercice des droits des personnes, y compris sous astreinte
• Prononcer une amende administrative
 
Bien que la CNIL soit en mesure, à titre préventif, d’adresser des avertissements ou des mises en demeure, l’engagement d’une procédure de sanction n’est pas subordonné à une mise en demeure préalable.

Le RGPD prévoit deux plafonds de sanction :

• Jusqu’à 10 millions d’euros d’amende ou jusqu’à 2 % du chiffre d’affaires annuel mondial, pour des manquements par exemple liés au privacy by design/ by default, au registre des traitements, à la sécurité ou à la réalisation d’analyses d’impact
• Jusqu’à 20 millions d’euros ou 4 %, pour des manquements liés aux principes fondamentaux des traitements, aux droits des personnes concernées ou encore aux transferts hors-UE
 
Retrouvez le panorama de l’ensemble des sanctions prononcées par la CNIL depuis 2018 en cliquant ici.