Les violations de données personnelles en France ont explosé en 2021

Le gendarme de la protection des données français, garant du Règlement général pour la protection des données (RGPD), a été notifié 5 037 fois pour violation de données personnelles, une augmentation de 79 % par rapport à l’année précédente. [Jarretera/Shutterstock]

Les notifications de violations de données personnelles ont augmenté de 79 % par rapport à 2020 en France, d’après le dernier rapport d’activité de la CNIL qui a fait état d’une année de tous les records.

L’année 2021 n’a pas été de tout repos pour la Commission nationale de l’information et des libertés (CNIL), à en croire son dernier rapport d’activité annuel présenté mercredi (11 mai).

Le gendarme de la protection des données français, garant du Règlement général pour la protection des données (RGPD), a été notifié 5 037 fois pour violation de données personnelles, une augmentation de 79 % par rapport à l’année précédente. Cela représente près de 14 notifications par jour.

Si ce chiffre reste « très en deçà de la réalité » selon sa présidente, Marie-Laure Denis, l’autorité indépendante se réjouit que cela reflète une meilleure prise de conscience des entreprises de cette obligation, tout en regrettant que ce soit le fait, également, d’une augmentation des cyberattaques.

Ces violations sont en effet, pour 58 % d’entre elles, le résultat d’attaques informatiques, par rançongiciels notamment. Là encore, il s’agit d’une augmentation de 128 % par rapport à 2020.

Les cibles privilégiées de ces attaques sont, sans surprises, les petites et moyennes entreprises (43 %) ainsi que les très petites entreprises (26 %), car elles sont « moins armées que les grandes entreprises face à cette menace », explique la commission.

La CNIL a également été particulièrement active en 2021 sur la partie répressive de ses missions avec 135 mises en demeure adressées à des entreprises, conduisant par la suite à 18 sanctions. La moitié des sanctions ont porté sur la mauvaise sécurité des données.

Ces nombreuses sanctions ont mécaniquement permis d’atteindre un montant cumulé d’amendes sans précédent de plus de 214 millions d’euros, contre seulement 138 millions l’année précédente.

Cookies : Facebook et Google écopent de très lourdes amendes de la CNIL

La Commission nationale de l’informatique et des libertés continue sa chasse aux contrevenants en matière de cookies et a sanctionné jeudi 6 décembre Facebook et Google à hauteur, respectivement, de 60 et 150 millions d’euros.

Coopération européenne 

La présidente de la CNIL s’est notamment réjouie de la coopération avec ses homologues européens. Sur les 18 sanctions imposées par l’autorité française, 4 ont été pris en étroite collaboration avec les autres organisations de protection des données dans le cadre du « guichet unique » prévu par le RGPD.

La CNIL a également été consultée sur 17 projets de décision, notamment sur celui qui avait finalement infligé une amende de 225 millions d’euros à WhatsApp.

« La mobilisation de la CNIL au niveau européen ne se limite pas au niveau répressif », a par ailleurs déclaré Mme Denis aux journalistes. Le gendarme de la vie privée français participe, en tant que membre de Comité européen de la protection des données (CEPD), aux discussions autour de nombreux textes législatifs examinés à Bruxelles : Data Act, Digital Governance Act, Digital Markets Act, Digital Services Act, AI Act, etc.

« La CNIL a les compétences juridiques, informatiques ainsi que l’expérience pour jouer un rôle prépondérant dans l’application de ces textes », a-t-il précisé, saluant la « volonté de l’UE d’avoir une régulation particulièrement active sur le numérique ».

La CNIL devrait, en effet, jouer un rôle majeur et de première ligne pour une partie de ces règlements. Interrogée pour savoir si les moyens humains et financiers de l’autorité devraient suivre en conséquence, Mme Denis note qu’il y a « une prise de conscience par les pouvoirs publics de l’intérêt des missions de la CNIL » mais qu’« il n’en reste pas moins que nous restons très petits par rapport à certains de nos homologues », citant l’exemple du Royaume-Uni et de l’Allemagne.

Enfin, la commission a identifié les suites de l’invalidation du « Privacy Shield » avec l’arrêt Schrems II comme un « chantier important ». Sa présidente a néanmoins souligné que la future décision d’adéquation — le « Trans-Atlantic Data Privacy Framework » — entre l’UE et les États-Unis annoncée fin mars n’était, pour l’heure, qu’« un accord de principe ». Cette annonce « constitue un premier pas, mais ne constitue qu’un premier pas », a souligné Mme Denis, notant que cela ne « modifie pas à ce stade le cadre juridique » des transferts, et notamment la position de plusieurs autorités européennes face à Google Analytics.

« Les discussions sont toujours en cours » mais « on n’a jamais vu un début de texte sur le sujet », a-t-elle regretté.

Les alternatives à Google Analytics se tiennent prêtes à prendre le relais

Les alternatives à Google Analytics pourraient avoir beaucoup à gagner si l’outil proposé par Google, dominant sur le marché, venait à ne plus pouvoir être utilisé dans l’UE, faute d’être en conformité avec les normes en matière de respect de la vie privée du bloc.

Subscribe to our newsletters

Subscribe