La Cnil a prononcé 14 sanctions et 49 mises en demeure en 2020, une augmentation par rapport à 2019, selon le rapport annuel de l’institution publié mardi. Quant aux amendes, leur total explose à la suite des deux sanctions record pour Google et Amazon.
En 2019, la Cnil avait prononcé 8 sanctions et 42 mises en demeure. Le total des amendes infligées augmente lui aussi nettement à 138,5 millions d’euros contre 51,4 millions d’euros un an auparavant, sous l’effet de deux sanctions record pour Google et Amazon au titre de leur politique en matière de cookies (respectivement 100 et 35 millions d’euros). Les sanctions données “concernent des acteurs, des secteurs d’activités et des manquements très variés, et font notamment suite à une sécurité insuffisante des données ou à l’absence d’information et de consentement des personnes, en particulier concernant l’utilisation des cookies“, détaille l’insitution.
Le nombre de plaintes reçues par la Cnil a légèrement diminué en 2020, avec 13 585 plaintes reçues. Mais le nombre de notifications de violation de données personnelles a
augmenté de 24 % à 2 825, sous l’effet notamment d’une vague d’attaques au rançongiciel constatée en 2020. Le piratage informatique est à lui seul à l’origine de 1 315 notifications
de violation de données personnelles, soit +70% sur l’année antérieure.
“La CNIL sera particulièrement attentive, en 2021 et au-delà, au respect des règles de sécurité concernant les données de santé et dont la perte, l’altération ou l’accès non autorisé peuvent avoir des conséquences particulièrement importantes pour les personnes concernées”, indique l’institution.
“La grande robustesse du RGPD”
Dans un avant-propos, la présidente de la Cnil Marie-Laure Denis estime que la crise sanitaire a “prouvé la grande robustesse du RGPD“, la nouvelle législation européenne sur la protection des données entrée en vigueur en 2018 que la Cnil est chargée de faire respecter. “Le RGPD s’est montré suffisamment souple pour permettre aux Etats membres
de l’Union européenne de prendre en compte la nécessité de traiter et de partager des informations dans un contexte sanitaire exceptionnel“, a-t-elle estimé.
La Cnil a ainsi autorisé 89 projets de recherche scientifique sur le Covid-19 nécessitant d’accéder à des données personnelles, sur une centaine de dossiers reçus, indique-t-elle dans son rapport. Il s’agissait par exemple de réutiliser les données de dossiers médicaux de patients n’étant pas en état d’être informés, sous réserve de leur permettre un droit d’effacement ultérieurement. Ou bien d’accepter que des données de mineurs soient utilisées avec l’autorisation d’un seul parent, s’il était trop difficile de consulter l’autre parent dans les temps.
Juliette Paoli avec AFP