Image légendée
La présidente de la Cnil, Marie-Laure Denis, le 11 mai 2022 à Paris © AFP Eric Piermont

La Commission nationale de l’informatique et des libertés (Cnil), gardienne de la vie privée des internautes en France, s’est mobilisée sur de multiples fronts en 2021, des « cookies » avec d’importantes sanctions prononcées contre les géants du web à la cybersécurité et la souveraineté des données. Une activité intense pour laquelle l’institution demande plus de moyens.

Si le nombre de plaintes semble avoir atteint un « plateau élevé » à plus de 14 000, l’année 2021 a été « sans précédent » sur le plan des sanctions, « tant par le nombre de mesures adoptées (18 sanctions et 135 mises en demeure) que par le montant cumulé des amendes, qui atteint plus de 214 millions d’euros » (+55 %), a détaillé la Commission dans son rapport annuel publié mercredi.

Après avoir laissé un temps d’adaptation aux entreprises sur le sujet des « cookies », ces traceurs du web très utilisés par les géants publicitaires, la Cnil a pu cette fois s’appuyer sur la réglementation européenne RGPD, qui prévoit des amendes allant jusqu’à 4 % du chiffre d’affaires. Ainsi, Google et Facebook ont été sanctionnés en décembre à hauteur de respectivement 150 et 60 millions d’euros, car « ils ne permettaient pas à des millions d’internautes de refuser les cookies aussi facilement que de les accepter », a rappelé la présidente de la Cnil, Marie-Laure Denis, lors d’une conférence de presse. Les deux géants ont depuis indiqué avoir modifié leur interface, a relevé la Cnil.

Le régulateur a réitéré sa mise en garde sur l’outil d’analyse du trafic Google Analytics, sur lequel elle a annoncé trois mises en demeure. « La récente annonce d’un accord de principe (sur les transferts de données, ndlr) entre l’Union européenne et les États-Unis constitue un premier pas important, mais ne modifie pas à ce stade le cadre juridique des transferts. En l’absence d’un texte qui ne sera pas prêt avant plusieurs mois, les acteurs doivent prendre des mesures pour veiller au respect de la protection des données », a déclaré Mme Denis.

Sans réponse de la société américaine Clearview, mise en demeure de supprimer les images de personnes résidant en France de sa base de données utilisée à des fins de reconnaissance faciale, Mme Denis a dit « envisager sérieusement de saisir prochainement la commission restreinte de la Cnil » pour lancer une procédure de sanction.

La Commission a également observé une hausse spectaculaire des signalements de violations de données, plus de 14 par jour en moyenne, liée à la prise de conscience par les entreprises de l’obligation de signaler toute fuite de données personnelles, mais aussi à « la très forte croissance des attaques informatiques, notamment les attaques par rançongiciels » qui ciblent d’abord les entreprises, les collectivités et les organismes publics, particulièrement dans le secteur de la santé. Quelque 3000 violations, soit 59 % des signalements, résultaient d’un piratage informatique, et plus de 2150 étaient liées à des rançongiciels, a-t-elle établi.

Face à cette activité en hausse et à la perspective d’obtenir de nouvelles missions à travers la nouvelle régulation européenne sur le numérique (DSA, DMA, Data Act, règlement sur l’intelligence artificielle, règlement ePrivacy), la Cnil veut faire évoluer ses pratiques. Elle compte « prendre davantage de petites sanctions » en s’appuyant sur une procédure simplifiée permettant au seul président de sa formation restreinte de prononcer des amendes d’un montant maximal de 20 000 euros et des astreintes de 100 euros par jour maximum. « Quand on sanctionne, par exemple, un cabinet de dentiste, on a constaté que ça permet de mettre en conformité tout un secteur », a justifié Marie-Laure Denis. « C’est une vraie nécessité de conforter les moyens de la Cnil ». L’institution disposera fin 2022 de 270 agents pour un budget de quelque 22 millions d’euros, encore loin de ses homologues britannique et allemande qui comptent près de 1000 agents.