Le 2 mars dernier, la CNIL a rendu public son programme de contrôles.
La CNIL précise qu’en 2020, elle a effectué 6 500 actes d’investigation dont 247 procédures de contrôle.
Ce chiffre de 247 procédures de contrôle sur 2020 est stable malgré la crise sanitaire, puisque dans son rapport annuel pour 2019 la CNIL avait indiqué avoir diligenté 241 procédures de contrôle.
A cet égard, la CNIL a réalisé, au cours de l’année 2020 des contrôles dans le cadre de la crise sanitaire puisqu’elle a notamment contrôlé l’application Stopcovid.
Pour l’année 2021, la CNIL indique qu’en plus :
- de l’instruction des plaintes,
- des traitements en relation avec la crise sanitaire,
Elle axera son programme de contrôles sur :
- la cybersécurité des sites web,
- la sécurité des données de santé et
- l’utilisation des cookies et autres traceurs.
La CNIL a précisé qu’elle a reçu 2 825 notifications de violation de données en 2020. A titre de comparaison, l’autorité irlandaise a reçu 5 818 notifications entre le mois de mai 2018 et le mois de mai 2019. Il semblerait donc que tous les organismes qui ont rencontré des violations de données ne les aient pas notifiées à la CNIL.
Ces thématiques prioritaires collent sans conteste avec l’actualité puisque les derniers mois ont été riches en actualités sur les fuites de données et cyberattaques dans le secteur de la santé.
Par ailleurs, et pour mémoire, la question des cookies et autres traceurs ne concerne pas uniquement les sites internet mais également tous les autres outils utilisant des traceurs comme par exemple les applications mobiles ou les objets connectés.
Certaines de ces procédures de contrôle donneront lieu à une procédure de sanction. Or il est possible de tirer certaines conclusions à la suite des sanctions prononcées par la CNIL depuis l’entrée en application du RGPD, puisque la CNIL :
- a sanctionné les très grands et les tous petits : à savoir autant Google et Amazon que des médecins libéraux ou des très petites entreprises présentant un résultat net négatif,
- qu’elle assortit très souvent ses sanctions financières d’injonctions sous astreinte,
- qu’elle n’hésite pas à requalifier les différents acteurs qui s’étaient par exemple qualifiés de sous-traitants alors qu’ils étaient en réalité responsables de traitement.