À l’occasion de la journée de la protection des données organisée vendredi dernier, la CNIL a dressé le bilan de ses sanctions prononcées en 2021.

Une année record où le montant cumulé des amendes atteint plus de 214 millions d’euros, fruit de 18 sanctions (dont 12 rendues publiques) où par 15 fois l’autorité a prononcé des amendes.

Comme en témoigne ce tableau récapitulatif, les plus importantes ont été infligées le 31 décembre dernier : 150 millions d’euros pour Google, 60 millions pour Facebook (notre décryptage).

Pour la première fois, une société (non désignée) n’a pas respecté les injonctions sous astreintes que la CNIL avait fait peser sur ses épaules. Résultat ? « Initialement sanctionnée d’une amende de 7 300 euros [la société] a dû payer 65 000 euros supplémentaires, car elle n’avait pas procédé aux modifications de son traitement demandées dans la décision de sanction ».

« Sur ces 18 sanctions, la moitié comporte un manquement en lien avec la sécurité des données personnelles, ce qui illustre deux choses : les mesures de sécurité prises par les organismes restent souvent insuffisantes [et] la CNIL vérifie systématiquement la sécurité des systèmes d’information lorsqu’elle effectue un contrôle ».

135 décisions de mises en demeure ont par ailleurs été prononcées en 2021. Seules dont 2 ont été rendues publiques. L’une à l’encontre de Clearview, l’autre concernant Francetest.

Elle réclame de la Commission une analyse des conséquences de la décision de la Cour de justice de l’UE, dit « Schrems 2 ».  Cette décision de 2020 est relative aux transferts de données à caractère personnel vers les pays tiers, en l’occurrence les États-Unis.

La justice avait alors invalidé l’accord dit Privacy Shield, qui qualifiait ce pays comme offrant un niveau de sécurité équivalent à celui en vigueur dans n’importe quel État membre européen.

Une affirmation qu’avait dénoncé la décision Schrems 2 en raison de possibles ingérences des autorités américaines dans ces flux venu d’Europe, fondées notamment sur des exigences relatives à la sécurité nationale et à l’intérêt public.

La question des données collectées par Google Analytics n’allait pas tarder à être abordée, puisque les données sont hébergées de l’autre côté de l’Atlantique. Déjà, le 22 décembre dernier, l’autorité autrichienne de la protection des données a estimé, en substance, que l‘utilisation de cet outil d’analyse d’audience viole le RGPD (voir ce billet de l’ONG NYOB, fondée par Max Schrems)

En France, Interhop embraye le pas au regard de l’utilisation du même service par plusieurs acteurs de la e-santé. Elle cite : « Recare, Qare, HelloCare, Alan, Therapixel, Implicity, Medaviz, Medadom, KelDoc, Maiia ».

Pour l’association, ils « doivent s’assurer de leur absence de soumission, totale ou partielle, à des injonctions de juridictions ou autorités administratives tierces les obligeant à leur transférer des données ».

Et Interhop, dans sa lettre adressée à la CNIL, de réclamer un arrêt des traitements qui s’avèreraient illégaux.