« Le RGPD a passé le test de la crise sanitaire » se réjouit la présidente de la CNIL

« La pandémie a été un accélérateur des usages numériques », a expliqué la présidente de la CNIL dans une vidéo, à l’occasion de la sortie du rapport annuel d’activité de son administration. [Edolag35/Wikimedia/CC-BY-SA-4.0]

La présidente de la Commission nationale de l’informatique et des libertés (CNIL), Marie-Laure Denis, s’est réjouit que le Règlement général des protections des données (RGPD) ait « passé le test de la crise sanitaire », à l’occasion de la sortie du rapport annuel d’activité de l’autorité administrative portant sur l’année 2020.

« L’année 2020 aura mis à l’épreuve le RGPD, en faisant émerger dans le débat public de nombreux points de tension susceptibles de déplacer les perceptions et les préoccupations concernant les données personnelles et la protection de la vie privée », note le rapport 2020 d’activité de la CNIL, publié aujourd’hui (18 mai).

La présidente de l’autorité régulatrice se réjouit que le RGPD se soit montré suffisamment « souple » en cette période de pandémie – alors qu’une part importante de ses avis rendus et de ses autorisations délivrées ont été liés à la crise. « La pandémie a été un accélérateur des usages numériques », explique-t-elle en vidéo.

Elle se félicite également que les citoyens semblent disposés à se saisir davantage dans leurs droits en matière numérique : le rapport note notamment une augmentation de 62,5% des plaintes depuis la mise en œuvre du RGPD, en 2018.

Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne, fixant un cadre harmonisé entre tous les États membres.

La CNIL indique que l’année 2020 a également été marquée par la question de la souveraineté numérique – citant l’exemple de l’invalidation du Privacy Shield qui encadrait le transfert de données entre l’UE et les États-Unis par la Cour de justice de l’UE, la polémique autour du Health Data Hub hébergé par Microsoft et les initiatives législatives européennes à venir, comme le Digital Services Act (DSA) ou le Digital Markets Act (DMA).

Le choix de Microsoft pour le Health Data Hub français continue d'alimenter les critiques

L’hébergement par le géant Microsoft du Health Data Hub français est-il en train de devenir un « boulet » que la nouvelle plateforme de données de santé va devoir traîner ? Si ce choix critiqué provoque l’indignation de l’écosystème numérique français et européen, il inquiète aussi les défenseurs de la protection des données.

« Ce contexte exceptionnel offre un alignement inédit des intérêts entre la régulation en matière de protection des données et la politique de relance industrielle. Il est de notre responsabilité de parvenir à nous en saisir collectivement pour mener une politique ambitieuse en matière de souveraineté numérique européenne », peut-on lire dans le rapport.

Trois grands chantiers pour 2021

La CNIL identifie également les trois grands chantiers qui se présentent à elle pour l’année 2021. L’autorité compte d’abord renforcer les contrôles pour veiller à la mise en conformité des politiques en matière de cookies pour les acteurs du web.

Il faut désormais plus de transparence pour les utilisateurs, mais il doit également « être aussi simple de retirer son consentement que de le donner ».

Cookies publicitaires : fin de la période de mise en conformité accordée par la CNIL

Aujourd’hui (jeudi 1 avril) marque la fin de la période de délai accordée par la Commission nationale de l’informatique et des libertés (CNIL) pour la mise en conformité des politiques en matière de cookies pour les acteurs du web.

« La cybersécurité est devenue un enjeu majeur », observe également Mme Denis, qui hisse la question parmi les priorités de l’année 2021. En 2020, la CNIL a reçu 2 825 notifications de violation de données, soit une augmentation de 24% par rapport à l’année précédente.

« Il n’y a pas de protection des données sans cybersécurité et l’on doit continuer à faire évoluer les pratiques au service d’une société numérique de confiance », souligne le rapport.

Enfin, l’autorité administration compte bien participer à l’initiative nationale d’un cloud « souverain » et de « confiance » pour héberger les données, et se prémunir des risques extraterritoriaux. « C’est la meilleure protection vis-à-vis de législations étrangères trop intrusives et cette ambition ne se limite pas aux données de santé », écrit la CNIL.

La France présente sa feuille de route pour un cloud « souverain » et « de confiance »

Bruno Le Maire a présenté aujourd’hui (17 mai), la stratégie française en matière de cloud, annonçant le lancement d’un label de « cloud de confiance » pour assurer une « protection maximale » des données tout en s’affranchissant des risques extraterritoriaux, américains notamment.

Subscribe to our newsletters

Subscribe