Amira BOUNEDJOUM revient sur les principaux faits marquants de l’année 2020 en matière de protection des données personnelles, et annonce les différentes actions à l’ordre du jour du planning de la conformité 2021.
Quelles sont les principaux faits marquants de l’année 2020 en matière de protection de données personnelles ?
L’année 2020 a été très marquée par la crise sanitaire. Pour faire face à cette crise, les traitements de données à caractère personnel portant notamment sur des données sensibles se sont multipliés. Nous avons également assisté à une généralisation du télétravail qui a dû se faire dans des conditions précipitées et pas toujours assorties de garanties de sécurité.
Cette période a, par ailleurs, été marquée par une très forte augmentation d’opérations d’attaques informatiques concernant aussi bien des cybermarchands que des institutions. Les objectifs poursuivis par les cyberattaquants sont multiples et variés : détournement de fonds, demande de rançons, espionnage industriel, etc. Parmi les dernières attaques informatiques de grande importance, nous pouvons citer celles qui ont ciblé l’Agence Européenne du Médicament et le groupe pharmaceutique Fareva.
La seconde partie de l’année 2020 a, quant à elle, été marquée par la publication tardive et tant attendue des délibérations de la CNIL relatives aux cookies. A ce titre, deux délibérations ont ainsi été publiées, l’une posant le cadre juridique applicable aux cookies, et l’autre déterminant les recommandations pratiques de la
CNIL pour se mettre en conformité aux nouvelles règles.
En juillet 2020, la Cour de justice de l’Union européenne a rendu une décision aux impacts importants puisqu’elle a invalidé les accords du Privacy Shield, accord permettant les transferts de données vers les États-Unis.
Enfin de nombreuses délibérations de la CNIL ont marqué la fin d’année 2020. La formation restreinte de la CNIL a ainsi sanctionné plusieurs opérateurs de manière assez inédite puisque les montants sont très importants et concernent des géants du numériques mais également des enseignes et des indépendants.
Pour ne citer que quelques exemples, la chaîne hôtelière Mariott a été sanctionnée à hauteur de 20 millions d’euros par l’autorité de contrôle britannique en coopération avec la CNIL pour des manquements à son obligation de sécurité. Carrefour France a été sanctionné à plus de 2 millions d’euros et Carrefour Banque a écopé d’une amende atteignant presque 1 million d’euros pour des manquements au RGPD concernant notamment l’information des personnes et le respect de leurs droits. La société Amazon quant à elle, s’est vu infligée une amende de 35 millions d’euros pour défaut de consentement préalable à l’installation de cookies publicitaires.
De manière plus inattendue, 2 médecins libéraux exerçant en cabinet individuel ont été sanctionnés. Le montant de leur amende est moins spectaculaire puisqu’ils ont été respectivement sanctionnés à hauteur de 3.000 et 6.000 euros d’amende. Néanmoins, si ces montants semblent moins dissuasifs, rapportés à l’échelle de leur chiffre d’affaires ils représentent plus de 3 et 6 % du chiffre d’affaires de ces médecins.
Que faut-il retenir de ces faits marquants ?
On retiendra tout d’abord de l’année 2020 que les situations au contexte exceptionnel ne sont assorties d’aucune dérogation en matière de protection des données. Pire, les climats particulièrement tendus et propices à la vulnérabilité de la sécurité des données doivent conduire à adopter une démarche toujours plus soucieuse du RGPD même lorsque cela ne paraît pas être la priorité ou qu’il existe de fait des urgences à traiter.
On retiendra ensuite que la CNIL multiplie ses contrôles et durcit sensiblement ses sanctions. Après avoir consacré une grande partie de son activité à l’accompagnement des entreprises pour les aider à comprendre le RGPD et à respecter leurs obligations depuis 2016, la CNIL consacre désormais davantage d’énergie à contrôler avec sévérité le suivi de ses préconisations.
Enfin, on retiendra que toutes les entreprises sont concernées quels que soit leur taille ou leur secteur d’activité et que personne n’est à l’abri d’une sanction.
Quel plan d’action pour 2021 ?
Plusieurs actions devraient être à l’ordre du jour du planning de la conformité 2021.
La conformité des sites internet au regard des délibérations relatives aux cookies est un premier point.
Les délibérations de la CNIL à ce sujet ont été publiées en septembre dernier et la CNIL a octroyé un délai de 6 mois pour s’y conformer qui prendra fin en mars 2020.
La mise à niveau des mesures de sécurité est une autre priorité, les sanctions prononcées à la suite de notifications de violation de données témoignent du fait que l’instruction dès notification de violation de données est aussi l’occasion de contrôler le RGPD au sein des entités ayant subi la violation. Les compétences et expertises techniques de la CNIL ne doivent pas être sous-estimées, les agents de contrôles sont parfaitement compétents pour réaliser des investigations particulièrement poussées pour vérifier les mesures de sécurité mises en place, les contrôler et les challenger.
L’encadrement des transferts, particulièrement vers les États-Unis doit également être poursuivi en 2021.
Enfin, une véritable réflexion sur les modalités d’information des personnes concernées par des traitements doit être menée. Cette obligation ne doit pas être prise à la légère et il ne suffit pas d’adopter des politiques de confidentialité ou des mentions d’information type. La CNIL sanctionne notamment le manque d’accessibilité à l’information et le manque de clarté.
1738 vues 
