99

150 millions pour Google, 60 millions pour Facebook. À eux deux, les géants américains concentrent la quasi-totalité des amendes prononcées par le gendarme des données personnelles français en 2021. Alors que se tenait, vendredi 28 janvier, la journée mondiale de la protection des données, la Commission Nationale de l’Informatique et des Libertés (C N I L) a dressé un premier bilan de son activité pour 2021. Ses quelque 230 agents n’ont pas chômé l’an dernier. Car entre les avis et conseils au gouvernement sur les outils de lutte contre le Covid-19 et son activité courante d’instruction des plaintes et signalements, l’autorité a prononcé un nombre record de mesures correctrices.

Cela recouvre aussi bien les sanctions pécuniaires (amendes) que les mises en demeure, rappels à l’ordre, ou injonctions à mettre fin à un traitement de données. Au total, 18 sanctions et 135 mises en demeure ont donc été prononcées en 2021. Bien au-dessus des 49 mises en demeures adressées en 2020, et même des 93 adressées en 2015. La majorité de ces mises en demeure ont porté sur la gestion des cookies, ces petits fichiers déposés sur l’ordinateur de l’internaute pour suivre son historique de navigation et lui proposer des publicités ciblées. En parallèle, 123 dossiers ont été clos après mise en conformité de l’acteur concerné.

          Nouvelles règles

La Cnil avait pourtant prévenu. Après deux années de tolérance à la suite de l’entrée en application du R G P D, le Règlement Général sur la Protection des Données, l’autorité avait fini par publier, en octobre 2020, ses nouvelles lignes directrices en matière de cookies et de traceurs. Plus question de transiger : le consentement aux cookies doit être libre et éclairé, et non forcé. Autrement dit, refuser les cookies doit, depuis cette date, être aussi simple que de les accepter. C’est ce qu’ont manqué de faire Google et Facebook. Les deux géants américains ont chacun écopé d’amendes records permises par le RGPD : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

Au cours de l’année, plusieurs vagues de mises en demeure ont ainsi été adressées à une soixantaine d’acteurs privés et publics. Sans autre sanction, à ce stade, que les amendes de 150 et 60 millions infligées à Google et Facebook. Une amende de 100 millions d’euros à l’encontre de Google prononcée en 2020 a d’ailleurs été confirmée par le Conseil d’État, le 28 janvier, pour défaut de consentement préalable au dépôt de cookies sur les ordinateurs des internautes. 

339

          400.000 euros d’amende pour la RATP

9

Seize autres sanctions ont également été prononcées pour d’autres motifs. Parmi les manquements les plus fréquents figurent le défaut d’information des personnes et des durées de conservation excessives. La moitié   comporte un manquement en lien avec la sécurité des données personnelles, ce qui illustre deux choses : les mesures de sécurité prises par les organismes restent souvent insuffisantes.  La C N I L  vérifie systématiquement la sécurité des systèmes d’information lorsqu’elle effectue un contrôle, précise l’autorité indépendante dans un communiqué.

Dans le secteur public, la RATP s’est vu infliger, en octobre dernier, une amende de 400.000 euros pour avoir fiché les conducteurs de bus grévistes, notamment pour décider ou non de leur avancement de carrière. Le ministère de l’Intérieur a, lui, reçu deux rappels à l’ordre avec injonction pour des failles dans sa gestion du très sensible fichier des empreintes digitales ainsi que pour l’utilisation de drones équipés de caméras. Au total, plus de 214 millions d’euros d’amendes ont ainsi été infligés en 2021 par la C N I L, contre seulement 138 millions en 2020 et 51 millions en 2019.