L’année 2021 a été marquée par plusieurs évènements importants tels que :
• Une augmentation considérable des notifications de violation des données
• Un total de 18 sanctions prononcées par la CNIL, dont 15 sanctions financières (représentant un montant cumulé d’amende de 214 millions d’euros)
• Un contrôle renforcé des méthodes de surveillance des employeurs dans le cadre du télétravail
• La mise en place d’une nouvelle procédure de décision simplifiée
L’année 2021 en quelques chiffres
Au cours de l’année 2021, 14 143 plaintes ont été adressées à la CNIL, ce qui reste similaire aux chiffres de 2020. Parmi celles-ci, 12 522 ont été clôturées. Cependant, c’est au niveau du nombre de notification de violations de données que l’année 2021 se démarque de l’année 2020. En effet, la CNIL annonce 5 037 notifications de violation de données sur l’année 2021, représentant une augmentation de 79% par rapport à l’année 2020.
De plus, la CNIL a effectué un total de 384 contrôles, qui ont conduit au prononcé de 18 sanctions (dont 15 amendes pour un montant cumulé d’amende historique de 214 106 000 euros).
Une nouvelle procédure de décision
Au cours de l’année, la CNIL a eu pour volonté de raccourcir les délais d’instruction. Pour cela, elle a engagé un chantier modifiant l’organisation des services dédiés à la gestion des plaintes. Elle a ainsi créé deux services distincts chargés de l’instruction des saisines :
- - Un service compétent pour les réclamations et demandes pouvant être gérées rapidement (délais de quelques jours à 2 mois).
- - Un autre service compétent pour les dossiers plus conséquents, nécessitant davantage d’échanges avec les parties.
Enfin, une autre mesure a été prise par la CNIL, consistant à recourir à un prestataire externe lorsqu’il s’agit de plaintes simples et récurrentes.
La gestion de la crise sanitaire
Dans le cadre de la lutte contre l’épidémie de COVID-19, la CNIL a été d’autant plus sollicitée, notamment pour rendre des avis, recommandations ou encore pour contrôler les méthodes utilisées par les employeurs pour surveiller leurs salariés en télétravail. En effet, elle a répondu aux questions les plus fréquentes concernant le télétravail et en a profité pour rappeler qu’il est interdit à l’employeur de surveiller en permanence ses salariés en télétravail (par exemple, un employeur de peut pas systématiquement imposer à un salarié d’activer sa caméra). Il est donc nécessaire d’effectuer une surveillance proportionnée. A défaut, les salariés pourront déposer une plainte à la CNIL, cette dernière effectuera alors des contrôles quant au respect du RGPD. A l’issue de ces contrôles, la CNIL est susceptible de mettre en demeure les organismes de se conformer au RGPD, mais aussi de prononcer une sanction financière.
De plus, la CNIL a dû intervenir dans le cadre des violations de données en lien avec la crise sanitaire. Le 4 octobre 2021, elle a mis en demeure la société Francetest de sécuriser les données qu’elle collecte pour le compte des pharmacies lors des tests de dépistage de covid. En effet, la société Francetest est chargée de simplifier la collecte de données des patients testés et d’en faciliter la transmission vers la plateforme SI-DEP. Le 21 août 2021, elle avait été informée de l’existence d’une violation de données affectant la sécurité du site francetest.fr. Cette violation concernait près de 400 000 personnes, exposant leur nom, prénom, adresse mail, numéro de téléphone, date de naissance, résultat du test covid et numéro de sécurité sociale.
Perspectives pour les années à venir
La CNIL expose ses trois piliers d’action pour l’année 2022 :
- - Renforcer sa démarche d’ouverture pour gagner en efficience : améliorer sa coopération avec les homologues européens, rendre plus claire la compréhension de l’utilisation des données pour les individus, etc.
- - Maintenir son exigence de respect des droits de l’homme : faciliter l’exercice des droits pour les victimes de manquements aux obligations, réduire les délais d’instruction des plaintes, améliorer l’accompagnement des professionnels, consolider la doctrine et développer de nouveaux outils, etc.
- - S’adapter à la nouvelle étape de régulation économique : atteindre un total de 270 agents à la fin de l’année 2022, veiller à la cohérence des nouveaux actes (Digital Marckets Act / Digital Services Act) avec le cadre juridique de la protection des données personnelles.