L’autorité chargée de veiller à la protection des données personnelles a battu un record par le montant cumulé des amendes ainsi que par le nombre de mesures adoptées.
Pour la journée de la protection des données, la Commission nationale de l’informatique et des libertés (CNIL) a dévoilé le bilan de son action répressive menée l’année dernière. 2021 a ainsi été « une année sans précédent » pour l’autorité française, qui a prononcé 18 sanctions, adressé 135 mises en demeure et infligé plus de 214 millions d’euros d’amendes. Une augmentation de 55% par rapport à 2020, où le montant cumulé des amendes avait atteint plus de 138 millions d’euros. La CNIL a par ailleurs révélé que le défaut d’information des personnes et des durées de conservation excessives font partie des manquements les plus fréquents.
De plus, la moitié des sanctions prononcées concerne un manquement en lien avec la sécurité des données personnelles. C’est l’une des raisons pour laquelle la RATP a été condamnée à une amende de 400 000 euros en novembre dernier. Pour la commission, ce bilan montre que « les mesures de sécurité prises par les organismes restent souvent insuffisantes », mais aussi qu’elle « vérifie systématiquement la sécurité des systèmes lorsqu’elle effectue un contrôle ».
Des mises en demeure liées à la thématique des cookies
En 2021, la CNIL a également établi un record en adressant 135 mises en demeure, ces décisions de la présidente ordonnant à un organisme de se mettre en conformité dans un délai maximum de six mois. Seulement 2 d’entre elles ont été rendues publiques. La première concerne Francetest, une société privée accusée de ne pas assez sécuriser les données qu’elle collecte pour le compte des pharmacies lors de tests de dépistage de la Covid-19. La seconde mise en demeure a été prononcée à l’encontre de Clearview AI pour plusieurs manquements au Règlement général sur la protection des données (RGPD), notamment au sujet du consentement. Spécialisée dans la reconnaissance faciale, cette entreprise a en effet établi sa base de données en aspirant les images des personnes concernées sur Internet sans les informer et sans leur accord.
Dans son bilan, la CNIL explique qu’une part importante de ces mises en demeure a porté sur la thématique prioritaire des cookies, avec 89 décisions comportant un manquement en lien avec l’utilisation de ces traceurs numériques. Pour rappel, depuis le 31 mars 2021, les sites web doivent respecter de nouvelles règles à leur propos. Ils sont par exemple tenus d’obtenir le consentement des internautes ou encore de rendre le refus des cookies aussi simple que leur acceptation. Des mesures qu’une trentaine d’écoles, entreprises et établissements publics n’ont pas respectés. Sans les nommer, la CNIL leur a adressé une mise en demeure en décembre dernier. Enfin, le gendarme français des données personnelles a annoncé avoir fermé 123 dossiers, notamment après avoir examiné les actions prises par les organismes pour se mettre en conformité.