Bilan de l’année 2020 en protection des données personnelles

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Counsel

Amira BOUNEDJOUM revient sur les principaux faits marquants de l’année 2020 en matière de protection des données personnelles, et annonce les différentes actions à l’ordre du jour du planning de la conformité 2021.

Quelles sont les principaux faits marquants de l’année 2020 en matière de protection de données personnelles ?

L’année 2020 a été très marquée par la crise sanitaire. Pour faire face à cette crise, les traitements de données à caractère personnel portant notamment sur des données sensibles se sont multipliés. Nous avons également assisté à une généralisation du télétravail qui a dû se faire dans des conditions précipitées et pas toujours assorties de garanties de sécurité.

Cette période a, par ailleurs, été marquée par une très forte augmentation d’opérations d’attaques informatiques concernant aussi bien des cybermarchands que des institutions. Les objectifs poursuivis par les cyberattaquants sont multiples et variés : détournement de fonds, demande de rançons, espionnage industriel, etc. Parmi les dernières attaques informatiques de grande importance, nous pouvons citer celles qui ont ciblé l’Agence Européenne du Médicament et le groupe pharmaceutique Fareva. 

La seconde partie de l’année 2020 a, quant à elle, été marquée par la publication tardive et tant attendue des délibérations de la CNIL relatives aux cookies. A ce titre, deux délibérations ont ainsi été publiées, l’une posant le cadre juridique applicable aux cookies, et l’autre déterminant les recommandations pratiques de la
CNIL pour se mettre en conformité aux nouvelles règles.

En juillet 2020, la Cour de justice de l’Union européenne a rendu une décision aux impacts importants puisqu’elle a invalidé les accords du Privacy Shield, accord permettant les transferts de données vers les États-Unis.

Enfin de nombreuses délibérations de la CNIL ont marqué la fin d’année 2020. La formation restreinte de la CNIL a ainsi sanctionné plusieurs opérateurs de manière assez inédite puisque les montants sont très importants et concernent des géants du numériques mais également des enseignes et des indépendants.

Pour ne citer que quelques exemples, la chaîne hôtelière Mariott a été sanctionnée à hauteur de 20 millions d’euros par l’autorité de contrôle britannique en coopération avec la CNIL pour des manquements à son obligation de sécurité. Carrefour France a été sanctionné à plus de 2 millions d’euros et Carrefour Banque a écopé d’une amende atteignant presque 1 million d’euros pour des manquements au RGPD concernant notamment l’information des personnes et le respect de leurs droits. La société Amazon quant à elle, s’est vu infligée une amende de 35 millions d’euros pour défaut de consentement préalable à l’installation de cookies publicitaires.

De manière plus inattendue, 2 médecins libéraux exerçant en cabinet individuel ont été sanctionnés. Le montant de leur amende est moins spectaculaire puisqu’ils ont été respectivement sanctionnés à hauteur de 3.000 et 6.000 euros d’amende. Néanmoins, si ces montants semblent moins dissuasifs, rapportés à l’échelle de leur chiffre d’affaires ils représentent plus de 3 et 6 % du chiffre d’affaires de ces médecins.

Que faut-il retenir de ces faits marquants ?

On retiendra tout d’abord de l’année 2020 que les situations au contexte exceptionnel ne sont assorties d’aucune dérogation en matière de protection des données. Pire, les climats particulièrement tendus et propices à la vulnérabilité de la sécurité des données doivent conduire à adopter une démarche toujours plus soucieuse du RGPD même lorsque cela ne paraît pas être la priorité ou qu’il existe de fait des urgences à traiter.

On retiendra ensuite que la CNIL multiplie ses contrôles et durcit sensiblement ses sanctions. Après avoir consacré une grande partie de son activité à l’accompagnement des entreprises pour les aider à comprendre le RGPD et à respecter leurs obligations depuis 2016, la CNIL consacre désormais davantage d’énergie à contrôler avec sévérité le suivi de ses préconisations.

Enfin, on retiendra que toutes les entreprises sont concernées quels que soit leur taille ou leur secteur d’activité et que personne n’est à l’abri d’une sanction. 

Quel plan d’action pour 2021 ?

Plusieurs actions devraient être à l’ordre du jour du planning de la conformité 2021.

La conformité des sites internet au regard des délibérations relatives aux cookies est un premier point.

Les délibérations de la CNIL à ce sujet ont été publiées en septembre dernier et la CNIL a octroyé un délai de 6 mois pour s’y conformer qui prendra fin en mars 2020.

La mise à niveau des mesures de sécurité est une autre priorité, les sanctions prononcées à la suite de notifications de violation de données témoignent du fait que l’instruction dès notification de violation de données est aussi l’occasion de contrôler le RGPD au sein des entités ayant subi la violation. Les compétences et expertises techniques de la CNIL ne doivent pas être sous-estimées, les agents de contrôles sont parfaitement compétents pour réaliser des investigations particulièrement poussées pour vérifier les mesures de sécurité mises en place, les contrôler et les challenger. 

L’encadrement des transferts, particulièrement vers les États-Unis doit également être poursuivi en 2021.

Enfin, une véritable réflexion sur les modalités d’information des personnes concernées par des traitements doit être menée. Cette obligation ne doit pas être prise à la légère et il ne suffit pas d’adopter des politiques de confidentialité ou des mentions d’information type. La CNIL sanctionne notamment le manque d’accessibilité à l’information et le manque de clarté.

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…