Le 9 juin 2020, la  CNIL a publié son rapport d’activité 2019.

Ce rapport d’une centaine de pages fournit une rétrospective sur l’activité de la CNIL durant l’année 2019  : 

  • en rappelant les dates et événements clés tels que la sanction de 50 millions d’euros à l’encontre de Google LLC ou les nombreuses recommandations qu’elle a publiées ;
  • en fournissant des statistiques sur les contrôles et les nombreuses demandes ou plaintes qu’elle reçoit (en hause de 27% sur an) ; ou
  • en détaillant son action et/ou ses possitions dans le cadre de la coopération au niveau européen et international ou dans le cadre de l’utilisation des données à des fins de recherches, l’expérimentation de la reconnaissance faciale ainsi que son plan d’action concernant les cookies. 

Nous faisons le point sur les points forts de son rapport 2019.

Les chiffres clés concernant les plaintes, les contrôles et les sanctions 

14 137 plaintes, soit une hausse de 27 % par rapport à 2018 (11 077) et de 79% en cinq ans.

2 287 notifications de violations de données personnelles

300 contrôles effectués dont :

  • 169 contrôles sur place ;
  • 53 contrôles en ligne ;
  • 45 contrôles sur pièce ;
  • 18 auditions.

42 mises en demeures dont 2 rendues publiques,

2 rappels à l’ordre et 2 avertissement et

8 sanctions pour un montant total record de  51,375 millions d’euros dont 50 millions pour la seule décision Google ainsi que 5 injonctions sous astreintes et 2 non lieux.

79 décisions finales ont été adoptées dans le cadre européen du guichet unique en 2019. La Cnil était l’autorité chef-de-file dans 10 cas et a participé à 32 autres décisions.

Au vu des statistiques au niveau national, on peut constater que la CNIL continue sa politique d’accompagnement à la conformité plutôt qu’à la répression et la sanction.

Les manquements les plus courants sont liés à la Sécurité et sont systématiquement audités par le CNIL dans le cadre de ses contrôles
La CNIL rappelle que 2/3 des sanctions depuis 2017 incluent un manquement à la sécurité, et plus de 40 % des sanctions sont prises sur ce seul fondement.
Toutefois, les montants des sanctions sur le seul fondement d’un défaut de sécurité demeurent relativement faibles dans la mesure où ils oscillent entre 15 000 et 400 000 euros. 
Les sanctions concernent notamment les manquements suivants :
  • des données librement accessibles par modification d’URL (défaut d’authenti-fication, URL prédictible) ;
  • une politique de mot de passe non conforme ;
  • la transmission de données par une connexion non chiffrée (HTTP) ;
  • l’absence de verrouillage automatique des sessions des postes de travail ;
  • un défaut de protocole de test afin de garantir l’absence de vulnérabilité avant la mise en production d’un nouveau développement (…)
La CNIL rappelle que la sécurité est vérifiée de manière systématique dans les 300 procédures formelles de contrôle qu’elle mène chaque année. 
Elle vérifie le respect des principes de base (mots de passe, sécurisation bases de données et réseau, etc.), mais aussi par la vérification de l’existence d’un registre des violations, nouvelle obligation issue du RGPD.
La CNIL déclare qu’elle poursuivra de sanctionner  les atteintes les plus manifestes à l’obligation de sécurité afin de s’assurer qu’un niveau minimal de sécurité des données est atteint.

 Le plan d’action de la CNIL concernant les cookies

La CNIL continuera à suivre son plan d’action proposé le 28 juin 2019 et a deux objectifs :

– répondre aux plaintes individuelles et collectives (La Quadrature du Net, Privacy International, NOYB) ; et

– accompagner  les professionnels du secteur du marketing digital dans leur dans leur mise en conformité.

Suite à la publication de lignes directrices en 2019 et sa consultation publique lancé en janvier 2020, la CNIL publiera une recommandation proposant des modalités opérationnelles de recueil du consentement.

Rappel de la position de l’UE concernant le Cloud Act (loi Américaine)

En juillet 2019, les autorités de l’UE ont pris position sur l’impact du Cloud Actaméricain (loi fédérale adoptée en 2018) sur le cadre juridique européen en matière de protection des données.

Cette loi permet aux autorités américaines, dans le cadre d’une procédure judiciaire, d’adresser directement des demandes d’accès aux entreprises du numérique soumises au droit américain, y compris lorsque ces données sont stockées en-dehors des États-Unis.

la CNIL et les autorités européennes ont considéré que de telles demandes des autorités américaines, lorsqu’elles sont émises en dehors de tout accord international ou traité d’entraide judiciaire, ne sauraient être considérées comme licites

Pour plus d’information vous trouverez le rapport de la CNIL ici

Partage

La CNIL publie son rapport d’activité 2019
Étiqueté avec :