En 2021, la CNIL a reçu 14 143 plaintes et en a clôt 12 522. Elle a procédé à 384 contrôles et les manquements constatés à l’occasion de certaines des instructions menées ont conduit à prononcer 135 mises en demeure et 18 sanctions, pour un montant cumulé d’amendes jamais atteint qui dépasse les 214 millions d’euros.
89 de ces 135 mises en demeure ont porté sur les cookies, l’une des thématiques prioritaires fixées par la CNIL pour cette année. Après un délai d’adaptation de six mois laissé aux acteurs du numérique pour mettre leurs pratiques en conformité avec les nouvelles règles sur les cookies, la CNIL a ainsi déclenché une campagne de contrôles qui a permis de mettre au jour de nombreuses pratiques non conformes.
En plus de ces mises en demeure, des sanctions ont été prises pour les cas les plus graves, concernant des acteurs qui ne permettaient pas à des millions d’internautes de “refuser les cookies aussi simplement que de les accepter », selon la formule de la CNIL.
La sécurité des données de santé
La CNIL a également poursuivi ses activités de contrôle sur la sécurité des données de santé : elle a ainsi conduit 30 nouvelles missions de contrôle auprès de laboratoires d’analyses médicales, d’hôpitaux, de prestataires et de data brokers en données de santé, en particulier sur les traitements en lien avec l’épidémie de Covid-19. “Certaines de ces procédures sont toujours en cours d’instruction », précise-telle.
La cybersécurité du web
Elle a également porté “une attention particulière” à la cybersécurité du web français en contrôlant 22 organismes dont 15 publics. Lors de ses enquêtes, la CNIL a notamment constaté des suites cryptographiques obsolètes rendant des sites web vulnérables aux attaques, des insuffisances concernant les mots de passe et, plus généralement, “des moyens insuffisants au regard des enjeux de sécurité actuels », explique la CNIL. Elle a reçu 5 037 notifications de violations de données, soit + 79 % par rapport à 2020.
Enfin, la CNIL a prononcé deux sanctions publiques à l’encontre du ministère de l’Intérieur, concernant “l’utilisation illicite de drones et une mauvaise gestion du fichier automatisé des empreintes digitales (FAED) ».