Le 42ème rapport de la Cnil publié en mai 2022 intervient dans un contexte où la Commission nationale de l’informatique et des libertés doit faire face à différents enjeux sociétaux.
Dans ce 42ème rapport annuel, la Cnil présente son activité pour 2021 en 3 axes :
- le renouvellement de la politique d’accompagnement relative à la crise sanitaire,
- un renforcement de l’action répressive du fait de l’accentuation des contrôles et
- la construction d’une souveraineté numérique autour des transferts de données.
La Cnil, un outil de lutte constante dans la protection des données de santé
Dans l’intérêt de la société, la Commission nationale de l’informatique et des libertés se doit de maîtriser les risques d’atteintes aux données personnelles des individus dans le cadre de l’épidémie du Covid-19.
C’est pour cela qu’elle a répondu à 22 auditions parlementaires et rendu 16 avis concernant le traitement des données dans le cadre du Covid-19. Cela concerne l’application TousAntiCovid, SI-DEP ou encore la liberté de se vacciner.
En temps de crise, son rôle est indispensable afin de garantir le respect de la vie privée et des libertés de chacun.
Enfin, la Cnil a délivré 54 autorisations de recherche sur la Covid-19 (1).
La Cnil a, pour la deuxième année consécutive, renforcé ses objectifs dans le cadre de la lutte contre la Covid-19 en matière de traitement des données de santé. Elle a également su répondre aux besoins et aux problématiques de chacun notamment dans le cadre de contrôles.
Un renforcement des contrôles et des répressions par la Cnil
En 2021, la Commission nationale de l’informatique et des libertés a procédé à 384 contrôles. En comparaison avec 2020, elle a réalisé 137 contrôles de plus (2). Les chiffres du 42ème rapport montrent à l’évidence un renforcement de l’implication de la Cnil dans les contrôles.
Or, il convient de noter que l’accentuation des contrôles s’associe avec l’augmentation des plaintes déposées au cours de l’année 2021. L’année 2021 compte plus de 4% de plaintes en plus par rapport à l’année 2020 (2).
Les cookies dans le 42ème rapport
La Cnil a pour objectif de permettre aux internautes de pouvoir « refuser les cookies aussi facilement que les accepter ». C’est ainsi que 89 des 135 mises en demeure prononcées par la Cnil portent sur les cookies.
Suite à la publication des lignes directrices modificatives rappelant le droit applicable le 1er octobre 2020, les acteurs du numérique avaient un délai de 6 mois pour adapter leurs pratiques en conformité avec les nouvelles règles sur les cookies. Passé ce délai, la Cnil a procédé à des contrôles et, en l’absence de mise en conformité, prononcé des sanctions.
Le 42ème rapport et la cybersécurité
La Commission informatique et libertés a également effectué de nombreux contrôles en matière de cybersécurité au vu de l’expansion des cyberattaques ces dernières années (79% par rapport à 2020).
La Cnil constate encore que de nombreux organismes ne respectent pas la loi concernant les libertés des individus sur internet. En d’autres termes, ces failles ont de fortes conséquences sur la vie privée des internautes qu’il faut au contraire protéger (3).
En conséquence, la Cnil a procédé à 22 contrôles dont 15 concernaient des organismes publics.
Les algorithmes cryptographiques étant non négligeables pour la sécurité des sites internet, la Cnil a constaté que certains étaient obsolètes ce qui a pour effet, une faiblesse / l’affaiblissement / la fragilisation de certains sites web.
Si la multiplication de contrôles à postériori est nécessaire, la mise en place de mesures de sécurité pour éviter les cyberattaques n’est pas à négliger.
La Cnil, garant de la protection des données transfrontières
La Commission informatique et libertés est particulièrement investie dans la cyber souveraineté de l’Union européenne afin de protéger et limiter les échanges transfrontières de données personnelles.
En outre, la Cnil a participé à cette protection au niveau mondial. En effet, elle a participé à la création de deux résolutions lors de la réunion de l’Assemblée mondiale de la vie privée.
- D’une part, l’encadrement de l’accès par les gouvernements aux données détenues par le secteur privé.
- Et d’autre part, la protection des droits numériques des enfants.
La limitation de l’accès aux données personnelles par les gouvernements
Le débat n’est pas le même lorsqu’on parle d’accès aux données personnelles par les gouvernements pour des raisons de sécurité nationale ou de sécurité publique. Cependant, la Cnil, l’autorité du Canada (OPC) et l’autorité du Japon (PPC) ont voulu soutenir cette résolution.
Ils ont décidé que, même pour des raisons de sécurité nationale ou de sécurité publique, l’accès aux données personnelles doit être soumis aux règles de préservation de la vie privée et de l’État de droit en général.
L’importance des politiques dédiées aux mineurs
Les mineurs sont de plus en plus présents sur internet et doivent être protégés par des mesures spécifiques. Ils sont considérés comme des personnes vulnérables et les autorités doivent donc leur prêter une attention toute particulière.
L’intérêt de la Cnil et des autorités italiennes (la Garante) dans cette résolution, est d’adapter l’espace internet aux mineurs afin qu’ils utilisent des outils qui leurs sont dédiés.
Les objectifs de la Cnil pour 2022
D’après Marie-Laure Denis, présidente de la Commission nationale de l’informatique et des libertés, il faut respecter « un équilibre entre accompagnement de la transformation numérique et protection des droits des personnes ».
Cet enjeu est toujours le même que la Cnil doit constamment développer. La Cnil se donne notamment comme objectifs en 2022 de développer ses outils numériques pour le secteur éducatif et de créer des partenariats avec des chercheurs dont les travaux peuvent éclairer la Cnil sur la protection des données.
Virginie Bensoussan-Brulé
Marion Catier
Shana Zeitoun, étudiante en droit, Université catholique de Lille
Lexing Informatique et libertés
(1) « La Cnil publie son rapport d’activité 2021 », 11 mai 2022.
(2) « La Cnil publie son rapport d’activité 2020 », 18 mai 2021.
(3) « Les problèmes constatés par la Cnil en matière de cybersécurité », 23 mai 2018.