L’essentiel du rapport d’activité 2021 de la CNIL

LA CNIL fait part de son rapport d’activité annuel : un niveau de cybersécurité trop fragile, une mauvaise protection contre les ransomwares, des cookies abusifs et un nombre record de plaintes et de sanctions. L’accompagnement en matière de sécurité et de conformité RGPD est une priorité.

Integraal-md vous propose un premier niveau de lecture de ce rapport.

Images CNIL – mai 2022

Un nombre de plaintes record

14 143 plaintes, c’est le nouveau record enregistré depuis 2019 (14 137). En 2021 : 5 848 plaintes ont fait l’objet d’une réponse rapide (10 jours en moyenne) 8 295 plaintes ont nécessité un traitement approfondi. 253 plaintes concernant la vidéosurveillance mise en œuvre par les particuliers !

Contrôles et sanctions

La CNIL a procédé́ à 384 contrôles formels en 2021 (soit une augmentation de 55 % par rapport à l’année 2020 et de 28 % par rapport à l’année 2019). Une augmentation substantielle des contrôles sur place par rapport à l’année 2020 (+ 64 %), mais également des auditions (+ 47 %).

Une forte hausse de l’activité́ répressive de la CNIL

18 sanctions visant des secteurs d’activités variés : En 2021, la formation restreinte de la CNIL a prononcé́ 18 sanctions, pour un montant de 214.106.000 euros. 12 d’entre elles ont été́ rendues publiques.     Une part importante de ces mises en demeure a porté́ sur la thématique prioritaire des cookies : 89 décisions comportent un manquement en lien avec l’utilisation des traceurs (dont 84 sont pleinement consacrées à cette question).

L’action de la CNIL en matière de cookies

En 2021, la CNIL a mis en demeure 89 acteurs sur le sujet des cookies. La CNIL a permis de constater, selon les cas, que :

• Des cookies soumis à consentement sont automatiquement déposés sur le terminal de l’utilisateur avant acceptation de sa part, dès son arrivée sur le site ;
• Des bandeaux d’information ne sont toujours pas conformes car ils ne permettent pas à l’utilisateur de refuser le dépôt de cookies aussi simplement que de l’accepter ;
• Des bandeaux d’information offrent à l’utilisateur un moyen de refuser les cookies avec le même degré de simplicité que celui prévu pour les accepter, mais le mécanisme proposé n’est pas effectif car des cookies soumis à consentement sont tout de même déposés après le refus exprimé par l’utilisateur.

Un nombre record de notifications de violations de données personnelles

La CNIL recense 5 037 notifications de violations reçues en 2021, contre 2 821 notifications en 2020, soit une augmentation significative de 79 %.

Les raisons de cette augmentation : Une très forte croissance des attaques informatiques, dont les attaques par rançongiciels Une meilleure appropriation de l’obligation de notifications, dû à une meilleure prise en compte des enjeux de cybersécurité. Des notifications par vague, lorsqu’un sous-traitant est concerné́ par un incident de sécurité́ et informe ses clients qui procèdent ensuite eux-mêmes à la notification

Les organismes et les secteurs d’activité́ les plus concernés.

Les PME et les micro-entreprises représentent 69 % des notifications, qui font majoritairement l’objet de piratage informatique (68 %).

Les 4 secteurs les plus concernés représentent 61% des notifications reçues par la CNIL en 2021.

• activités spécialisées, scientifiques et techniques (21%)
• santé humaine et action sociale (18%)
• administration publique (12%)
• finance et assurance (10%)

Les deux premiers secteurs connaissent la plus forte progression par rapport à 2020 : le nombre de notifications reçues a pratiquement triplé en l’espace d’un an (respectivement + 191 % et + 195 %).

Nature des violations

La CNIL reçoit majoritairement des notifications de violations en lien avec une perte de confidentialité́ de données personnelles (avec un total de 4 017 notifications, soit environ 80 %)

Causes des violations

En 2021, près de 63 % des violations notifiées à la CNIL sont causées par un acte externe (accidentel ou malveillant), alors que les actes internes (accidentels ou malveillants) représentent 17 %.

Origines des violations

La CNIL a reçu près de 3 000 notifications résultant d’un piratage informatique, ce qui représente environ 59 % des notifications, soit une hausse de 128 % par rapport à 2020.

LA CNIL accompagne à la mise en conformité RGPD

L’accompagnement des organismes dans leur conformité est l’une des priorités pour la CNIL.

Disponible sur le site de la CNIL, vous pouvez accéder à de nombreux documents pour vous aider dans votre conformité RGPD. Une toute nouvelle mise à jour du fameux Mooc, « l’atelier RGPD » de la CNIL, est arrivée le 27 juin 2022. C’est un bon moyen pour tout débutant qui souhaite acquérir les bases sur le RGPD.

Vous recherchez une formation très complète et solide sur les bases du RGPD ?
Inscrivez-vous à notre formation exclusive de 14h auprès de notre partenaire Data-Inceptio
LE RGPD, contraintes ou opportunités pour les PME/PMI ?

Découvrez aussi notre accompagnement, pragmatique et appliqué à votre métier, pour votre mise en conformité RGPD ici : Protection des données et RGPD

Mot de passe, de nouvelles recommandations à venir

D’après une étude de Verizon de 2021, 81 % des notifications de violations de données mondiales seraient liées à une problématique de mots de passe. En France, presque 60 % des notifications reçues par la CNIL au cours de l’année 2021 sont liées à du piratage et un grand nombre de ces évènements auraient pu être évités par le respect de bonnes pratiques en matière de mots de passe. Si vous souhaitez créer un mot de passe fort, vous pouvez consulter notre article sur : comment créer un mot de passe fort

Innover et développer la réflexion éthique

CookieViz 2.0, logiciel développé par le LINC (laboratoire d’innovation numérique de la CNIL), a été récompensé par la Global Privacy and Data Protection Awards 2021.

Ce logiciel met à disposition gratuitement une dataviz en temps réel du tracking de votre navigation.

Vous pouvez télécharger CookiesViz 2.0 via ce Lien.