214 489 300 euros. C'est le montant total des sanctions infligées par la Cnil au cours de l'année 2021, soit une hausse de 55 % par rapport à l'année précédente. Cette "activité répressive sans précédent" porte sur la mauvaise sécurité des données dans la moitié des cas mais aussi sur des suites cryptographiques obsolètes rendant les sites web vulnérables aux attaques.
En présentant son rapport d'activité, la présidente de la Cnil Marie-Laure Denis a vanté les effets positifs de cette activité répressive : "Google et Facebook ont fini par insérer un bouton pour accepter ou refuser les cookies dès le premier écran". Rappel important : les deux mastodontes ont respectivement écopé en 2021 d'une amende de 150 millions d'euros et de 60 millions d'euros pour l'insuffisance de leur politique en matière de cookies. Année après année, la Commission ne cesse de battre des records d'activité. En 2021, elle a procédé à 384 contrôles et reçu 14 143 plaintes. Elle a par ailleurs reçu plus de 5 000 notifications de violations de données. Au total, la Cnil a prononcé 135 mises en demeure et 18 sanctions pour près de 215 millions d'euros. "Les décisions ont concerné des secteurs d'activité et des cateurs très divers" explique-ton à la Cnil ; "les mesures de sécurité prises par les organismes restent souvent insuffisantes".
Fichier automatisé des empreintes digitales
Les acteurs privés du numérique ne sont pas les seuls à être visés par la Cnil. Cette dernière a prononcé deux sanctions à l'encontre du ministère de l'Intérieur pour l'utilisation illicite de drones équipés de caméras destinées à surveiller le respect du confinement. La mauvais gestion du fichier automatisé des empreintes digitales (FAED) a également valu à la Place Beauvau un rappel à l'ordre. "A l'issue des contrôles effectués auprès de services de la police technique et scientifique, la Cnil a relevé de multiples manquements à la loi Informatique et Libertés (...) Des données y sont conservées pour une durée excédant celle prévue par les textes (...) De plus, aucune information n'est délivrée aux personnes concernées dont les empreintes sont prises puis versées au FAED". Facteur aggravant : le fichier FAED s'est révélé insuffisamment sécurisé compte tenu de la faible robustesse des mots de passe permettant d'accéder à ce fichier.
Une attention portée aux caméras augmentées
Au-delà des sanctions prononcées, Marie-Laure Denis a esquissé les enjeux auxquels la Cnil devra répondre dans les années à venir. Un "plan stratégique" portant sur la période 2022-2024 visera à réguler trois domaines : les caméras augmentées (permettant la reconnaissance faciale), la collecte des données via les applications sur smartphone, et le transfert des données dans le cloud. Ce dernier point sera abordé à l'échelle européenne dans le cadre de l'arrêt dit "Schrems II" qui a pour ambition de sécuriser les transferts de données personnelles des citoyens français vers des pays en dehors de l'Union européenne.
Face à l'augmentation de ses missions, la Cnil pourra compter sur un accroissement de ses moyens humains avec 270 agents à la fin de l'année 2022. A ce jour, la Commission emploie 245 personnes (âge moyen de 39 ans, avec une très forte présence féminine de 64 %) et dispose d'un budget de 21,8 millions d'euros. "Un chiffre encore très modeste quand on le compare aux moyens dont disposent les Cnil allemande et britannique qui comptent près de 1000 agents" souligne Marie-Laure Denis.