La CNIL à l’épreuve de la crise sanitaire en 2020

Spread the love
  • Yum

La CNIL à l'épreuve de la crise sanitaire en 2020

L’année 2020 aura, selon les mots de Marie-Laure Denis, présidente de la CNIL, « bouleversé le lien que nous entretenons avec les données personnelles ». Conséquence indirecte de la crise sanitaire, la montée en puissance du télétravail, de la télémédecine et de l’enseignement à distance ont gagné les habitudes des Français.

Dans son bilan annuel, la CNIL souligne qu’elle a « conseillé activement » les pouvoirs publics autour des systèmes d’information sanitaires, comme l’application TousAntiCovid (ex-StopCovid), le SI-DEP ou encore Vaccin Covid. La CNIL a traité en priorité les plaintes liées à la Covid-19 et les contrôles des dispositifs mis en œuvre. Elle a aussi mené des contrôles sur l’usage des drones équipés de caméras pour surveiller le respect des mesures de confinement. Au total, l’autorité a donné 89 autorisations de recherche sur la Covid-19, et réalisé 25 contrôles en lien avec la pandémie entre mai et novembre 2020.

Pour Louis Dutheillet de Lamothe, secrétaire général de la CNIL, la « conciliation de la protection des données et des impératifs de santé publique » a constitué un élément central l’année dernière. « L’année 2020 a plongé le RGPD dans le grand bain : celui de la confrontation à une réalité tragique, impliquant des mesures impérieuses et immédiates. (…) Le pari a, me semble-t-il, été remporté : la crise a au contraire démontré la robustesse des principes de protection des données, à la fois protecteurs des individus et de la société dans son ensemble, et ne nuisant aucunement à l’efficacité de la stratégie sanitaire », commente-t-il.

publicité

Les GAFAM toujours dans le viseur

La CNIL a continué à jouer son rôle de gendarme, notamment auprès des GAFAM. La CNIL a effectué 247 contrôles au total, et prononcé 14 sanctions, dont 11 amendes d’un montant total de 138 489 300 euros, deux rappels à l’ordre et une injonction sous astreinte, non associée à une amende. « Ces sanctions concernent des acteurs, des secteurs d’activités et des manquements très variés, et font notamment suite à une sécurité insuffisante des données ou à l’absence d’information et de consentement des personnes, en particulier concernant l’utilisation des cookies », détaille-t-elle.

La CNIL a particulièrement travaillé autour des cookies, en publiant en octobre dernier de nouvelles lignes directrices, qui visent l’amélioration de l’information fournie aux internautes et un consentement effectif au dépôt des cookies par les sites web. L’an passé, l’autorité a notamment frappé Google et Amazon au portefeuille pour leurs usages abusifs des cookies, en prononçant des amendes records, respectivement de l’ordre de 100 millions d’euros et 35 millions d’euros.

Le consentement aux cookies restera d’ailleurs l’un des marqueurs forts pour 2021. La CNIL affirme qu’elle compte continuer son action pour « obtenir l’information requise sur les bandeaux cookies des pages d’accueil des sites internet », et veillera à la faculté d’être en mesure « de les refuser aussi aisément qu’il est proposé de les accepter ».

La cybersécurité et le cloud souverain, les priorités de 2021

Les défauts de sécurité des sites web figurent parmi les manquements les plus souvent constatés lors des contrôles et peuvent notamment conduire à des violations de données, constate l’autorité. L’autorité de contrôle a recensé en 2020 2 825 notifications de violation de données personnelles, soit 24 % de plus qu’en 2019. Et « pour plus de 500 d’entre elles, l’origine est une attaque par rançongiciel, dont la CNIL a pu constater l’augmentation en 2020 et notoirement en 2021 pour des établissements de santé », donne à voir le bilan.

La CNIL entend donc orienter davantage ses actions de contrôle autour de la cybersécurité et de la sécurité des données de santé cette année. « L’attention sera portée particulièrement sur les formulaires de recueil des données personnelles, l’utilisation du protocole HTTPS et la conformité des acteurs à la recommandation de la CNIL sur les mots de passe », précise la CNIL. Elle prévoit également d’aller interroger les organismes sur « les stratégies mises en place pour se prémunir contre les rançongiciels ».

Sur un terrain plus juridique, l’autre secteur prioritaire qui intéresse fortement la CNIL en 2021 concerne l’hébergement des données dans un cloud souverain. A ce sujet, le gouvernement vient d’ailleurs de poser les premières pierres d’un cloud “presque” souverain, au travers de la création d’un label pour le “cloud de confiance”. Celui-ci repose sur des offres franco-américaines et des exigences plus poussées en matière de sécurisation technique et juridique.

Leave a Reply

%d bloggers like this: