Un des points positifs de la crise Covid, et peut-être même le seul et unique, est qu'elle a su placer au cœur du débat public la protection des données personnelles et informer les citoyens sur cet enjeu de taille.
Covid = lumière sur la protection des données
En effet, s'il y a trois ans, lors de son entrée en application, le RGPD (règlement général européen pour la protection données) n'était connu et compris que des spécialistes, juristes d'entreprises en tête, il évoque aujourd'hui quelque chose pour une très grande partie de l'opinion publique.
Dans son 41e rapport d'activité, la CNIL dresse en effet un bilan plutôt optimiste sur l'évolution de la protection de nos données personnelles toutefois bouleversée par la crise sanitaire.
Les nombreux impacts de la pandémie — généralisation du télétravail, digitalisation des échanges et multiplication exponentielle des cyberattaques – ont permis de mettre en lumière l'importance d'avoir un cadre juridique solide de protection des données sur la toile.
Se posent ainsi les questions de la protection de nos données de santé sur les plateformes comme Doctolib par exemple, où de nombreux Français ont pris rendez-vous pour se faire tester ou vacciner, mais aussi de leur conservation dans le cloud. « Je suis toujours épaté qu'Amazon soit hébergeur de données de santé, le décalage me paraît absolument hallucinant et surréaliste », déplorait récemment le célèbre généraliste Jean-Paul Hamon, président d'honneur de la Fédération française des médecins de France.
La CNIL a répondu présente puisque face à la multitude d'initiatives collectant les données de santé notamment, elle a su mobiliser ses deux piliers, l'accompagnement et la chaîne répressive, tout en restant à l'écoute. Tout au long de l'année, elle a ainsi conseillé activement les pouvoirs publics (8 auditions parlementaires et 10 avis rendus au Gouvernement) afin de contribuer à garantir que la mise en œuvre des systèmes d'information sanitaires (StopCovid-TousAntiCovid, SI-DEP, Contact Covid, Vaccin Covid) soit respectueuse des droits des personnes concernées. Elle a aussi mis en ligne des contenus inédits à destination du grand public, notamment sur la continuité pédagogique, le télétravail, la distribution de masques par les collectivités ou encore l'appli TousAntiCovid. Sa participation à la coopération européenne a également permis d'apporter des positions communes importantes sur les applications de suivi de contact ou le traitement de données de santé à des fins de recherche scientifique.
13 585 plaintes et 2 825 notifications reçues
La commission a surtout reçu et traité 13 585 plaintes, soit 62,5 % d'augmentation depuis la mise en œuvre du RGPD, dont 150 concernant la vidéosurveillance mise en œuvre par des particuliers et 11 % liées à la prospection. « Ce chiffre, toujours élevé et constant par rapport à 2019, confirme une prise de conscience conséquente des Français vis-à-vis de leurs droits. Parmi ces plaintes, 4 528 ont été suivies d'une réponse rapide et 9 057 ont nécessité une étude plus approfondie », précise la CNIL.
Plus inquiétant, elle a reçu l'an dernier 2 825 notifications de violation de données personnelles, soit 24 % de plus qu'en 2019. Pour plus de 500 d'entre elles, l'origine est une attaque par rançongiciel, un phénomène en plein essor qui paralyse de nombreuses entreprises. Cette nouvelle forme de cybercriminalité a d'ailleurs fait l'objet de 397 saisines au parquet de Paris en 2020, soit une hausse de 543 % par rapport à 2019. Préoccupée, la CNIL s'inquiète du fait que les rançongiciels ont touché récemment des établissements de santé.
« La CNIL sera particulièrement attentive, en 2021 et au-delà, au respect des règles de sécurité concernant les données de santé et dont la perte, l'altération ou l'accès non autorisé peuvent avoir des conséquences particulièrement importantes pour les personnes concernées », précise la commission.
Enfin, sur les 247 contrôles réalisés en 2020, la CNIL a prononcé 14 sanctions, dont 11 amendes d'un montant total de 138 489 300 euros à l'encontre d'acteurs de secteurs variés suite à une sécurité insuffisante des données ou à l'absence d'information et de consentement des personnes, en particulier sur l'utilisation des cookies dont le régime a évolué en octobre dernier.
Anticipation des nouveaux usages du numérique
Au-delà de ses missions d'accompagnement et de contrôle, la CNIL a poursuivi son objectif d'anticipation de l'innovation, de la digitalisation du quotidien et de ses enjeux pour la protection de la vie privée et des libertés individuelles.
Dans ce 41e rapport unique en son genre puisqu'il dresse le bilan d'une année de crise sanitaire, elle présente des premières pistes de réflexion pour mieux comprendre les usages du numérique pendant les différents confinements et anticiper les innovations futures dans le monde d'après la pandémie.
La commission a aussi travaillé sur le droit à la portabilité des données, avec un événement organisé en novembre qui a contribué à la publication d'une nouvelle fiche pratique complète à l'attention des professionnels. Elle a également édité un premier livre blanc intitulé “À votre écoute3”, consacré aux assistants vocaux qui ne cessent de se multiplier.
