Le 9 juin 2020, la CNIL a publié son rapport d’activité 2019.
Ce rapport d’une centaine de pages fournit une rétrospective sur l’activité de la CNIL durant l’année 2019 :
- en rappelant les dates et événements clés tels que la sanction de 50 millions d’euros à l’encontre de Google LLC ou les nombreuses recommandations qu’elle a publiées ;
- en fournissant des statistiques sur les contrôles et les nombreuses demandes ou plaintes qu’elle reçoit (en hause de 27% sur an) ; ou
- en détaillant son action et/ou ses possitions dans le cadre de la coopération au niveau européen et international ou dans le cadre de l’utilisation des données à des fins de recherches, l’expérimentation de la reconnaissance faciale ainsi que son plan d’action concernant les cookies.
Nous faisons le point sur les points forts de son rapport 2019.
Les chiffres clés concernant les plaintes, les contrôles et les sanctions
14 137 plaintes, soit une hausse de 27 % par rapport à 2018 (11 077) et de 79% en cinq ans.
2 287 notifications de violations de données personnelles
300 contrôles effectués dont :
- 169 contrôles sur place ;
- 53 contrôles en ligne ;
- 45 contrôles sur pièce ;
- 18 auditions.
42 mises en demeures dont 2 rendues publiques,
2 rappels à l’ordre et 2 avertissement et
8 sanctions pour un montant total record de 51,375 millions d’euros dont 50 millions pour la seule décision Google ainsi que 5 injonctions sous astreintes et 2 non lieux.
79 décisions finales ont été adoptées dans le cadre européen du guichet unique en 2019. La Cnil était l’autorité chef-de-file dans 10 cas et a participé à 32 autres décisions.
Au vu des statistiques au niveau national, on peut constater que la CNIL continue sa politique d’accompagnement à la conformité plutôt qu’à la répression et la sanction.
Les manquements les plus courants sont liés à la Sécurité et sont systématiquement audités par le CNIL dans le cadre de ses contrôles
- des données librement accessibles par modification d’URL (défaut d’authenti-fication, URL prédictible) ;
- une politique de mot de passe non conforme ;
- la transmission de données par une connexion non chiffrée (HTTP) ;
- l’absence de verrouillage automatique des sessions des postes de travail ;
- un défaut de protocole de test afin de garantir l’absence de vulnérabilité avant la mise en production d’un nouveau développement (…)
Le plan d’action de la CNIL concernant les cookies
La CNIL continuera à suivre son plan d’action proposé le 28 juin 2019 et a deux objectifs :
– répondre aux plaintes individuelles et collectives (La Quadrature du Net, Privacy International, NOYB) ; et
– accompagner les professionnels du secteur du marketing digital dans leur dans leur mise en conformité.
Suite à la publication de lignes directrices en 2019 et sa consultation publique lancé en janvier 2020, la CNIL publiera une recommandation proposant des modalités opérationnelles de recueil du consentement.
Rappel de la position de l’UE concernant le Cloud Act (loi Américaine)
En juillet 2019, les autorités de l’UE ont pris position sur l’impact du Cloud Actaméricain (loi fédérale adoptée en 2018) sur le cadre juridique européen en matière de protection des données.
Cette loi permet aux autorités américaines, dans le cadre d’une procédure judiciaire, d’adresser directement des demandes d’accès aux entreprises du numérique soumises au droit américain, y compris lorsque ces données sont stockées en-dehors des États-Unis.
la CNIL et les autorités européennes ont considéré que de telles demandes des autorités américaines, lorsqu’elles sont émises en dehors de tout accord international ou traité d’entraide judiciaire, ne sauraient être considérées comme licites
Pour plus d’information vous trouverez le rapport de la CNIL ici
