Recevez chaque jour toute l'actualité du numérique

x

En 2021, le total des sanctions infligées par la Cnil avoisine 3,5 millions d'euros

En 2021, la Cnil a infligé une série de sanctions pécuniaires pour un total d'environ 3,5 millions d'euros. C'est l'AG2R La Mondiale qui a écopé de l'amende la plus élevée, de 1,75 million d'euros. Le ministère de l'Intérieur s'est vu infliger deux rappels à la loi, l'un sur les drones de surveillance et l'autre sur le fichier des empreintes digitales. L'année 2022 sera sûrement placée sous le signe de la protection des données de santé, de la gestion du télétravail et de la légalité du recours à des services américains. 
mis à jour le 11 janvier 2022 à 09H45
Twitter Facebook Linkedin Flipboard Email
×

En 2021, le total des sanctions infligées par la Cnil avoisine 3,5 millions d'euros
En 2021, le total des sanctions infligées par la Cnil avoisine 3,5 millions d'euros © Cnil

Mise à jour le 11 janvier à 9h45 : La Cnil a contacté L'Usine Digitale le 10 janvier 2022 pour nous indiquer que, bien que n'ayant communiqué sur l'affaire que le 6 janvier, sa décision d'imposer des amendes de 150 et 60 millions d'euros à Google et Meta a été prise le 31 décembre 2021.

Article d'origine : En 2021, la Commission nationale de l'informatique et des libertés (Cnil) a infligé près de 3,5 millions d'euros d'amendes pour la violation des législations sur la protection des données. C'est un montant beaucoup moins important qu'en 2020, année durant laquelle elle avait distribué 11 amendes pour un total d'environ 138 millions d'euros.

Une amende record de 1,75 million d'euros
L'amende la plus haute a été infligée à l'AG2R La Mondiale, qui a écopé d'une sanction de 1,75 million d'euros. Le groupe a violé deux obligations du Règlement général sur la protection des données (RGPD) : la limitation des durées de conservation des données et la transmission d'informations à ses adhérents. Vient ensuite la sanction de 500 000 euros infligée à Brico Privé, éditeur d'un site de ventes privées de bricolage, de jardinage et d'aménagement de la maison. 

Monsanto et la Régie autonome des transports parisiens (RAPT) ont tous les deux été condamnés à des amendes de 400 000 euros. Le premier pour avoir illégalement fiché plus de 200 personnalités publiques et journalistes susceptibles d'influencer le débat sur le renouvellement de l'autorisation du glyphosate (un herbicide controversé) en Europe. Le second a intégré le nombre de jours de grève des agents dans des fichiers d'évaluation qui servaient à préparer les choix de promotion. 

Plus récemment, c'est la start-up Slimpay, qui propose des solutions de gestion des abonnements et des paiements récurrents, qui a écopé une amende de 180 000 euros pour avoir manqué à ses obligations. Elle a insuffisamment protégé les données personnelles de ses utilisateurs et ne les a pas informé d'une violation de données qui a concerné 12 millions de personnes. 

Le ministère enjoint de ne plus utiliser de drones
La Commission a également pris des sanctions non pécuniaires, à l'image du rappel à la loi infligé au ministère de l'Intérieur pour avoir utilisé de manière illicite des drones équipés de caméras pour surveiller le respect des mesures de confinement. Il a aussi été sanctionné pour sa mauvaise gestion du fichier automatisé des empreintes digitales (FAED). 

L'autorité a également adressé un avertissement à un club sportif qui envisageait de recourir à un système de reconnaissance faciale afin d'identifier automatiquement les personnes faisant l'objet d'une interdiction commerciale de stade. 

Une années sous le signe des cookies tiers
L'année 2021 a été placée sous le signe des cookies tiers, comme l'avait prévu la Cnil. Elle a adressé plusieurs séries de mises en demeure, qui ont été pour certaines clôturées depuis, pour la violation de la législation sur les cookies. Une procédure de contrôle prévue depuis l'entrée en vigueur en avril 2021 de nouvelles règles.

Plusieurs procédures ont également été ouvertes en 2021. En mars, saisie d'une plainte, la Cnil a lancé des investigations pour vérifier la conformité du RGPD de Clubhouse. Elle a également mis en demeure la société Francetest à la suite de la découverte d'une base de données contenant 700 000 résultats de tests Covid librement accessible sur Internet. Le même sort a été réservé à la start-up américaine Clearview AI à l'origine d'une plateforme en ligne sur laquelle se trouve un moteur de recherche. Il fonctionne en y téléchargeant la photographie d'un visage à partir de laquelle il va calculer "l'empreinte numérique" correspondante à celle-ci et effectuer une recherche les photographies auxquelles sont liées des empreintes similaires.

La Cnil n'a pas encore révélé ses priorités pour 2022. Mais il est d'ores et déjà possible d'imaginer les grands thèmes qui seront au centre de ses préoccupations, comme la protection des données de santé. En effet, depuis le début de la crise du Covid-19, ces données sont particulièrement exploitées pour effectuer du contact tracing, de la prédiction épidémiologique... Une tendance qui a également révélé un manque cruel de sécurisation de ces informations particulièrement sensibles. De plus, des litiges liés au télétravail pourraient également apparaître. A plusieurs reprises, la Cnil a rappelé les règles à appliquer en la matière (encadrement des mesures de contrôle, sécurisation des logiciels de visioconférence...). 

Les conséquences de l'arrêt Schrems II
Enfin, les conséquences de l'arrêt Schrems II, qui a invalidé le Privacy Shield, résonneront toujours en 2022. C'est ainsi qu'en mai dernier, la Cnil a appelé à des évolutions dans l'utilisation des outils collaboratifs américains pour l'enseignement supérieur et la recherche. "Dans certains cas, des transferts de données personnelles vers les États-Unis dans le cadre de l’utilisation des 'suites collaboratives pour l’éducation'" peuvent se produire, concluait la Cnil. Or, les données traitées par ces établissements concernent un nombre important d’utilisateurs (étudiants, chercheurs, enseignants, personnel administratif). Des solutions alternatives, française o européenne, doivent donc être adoptées à l'issue d'une période transitoire.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.