La CNIL publie son rapport annuel 2021 : quelles leçons en tirer pour ma conformité ?
Les obligations en matière de protection des données sont nombreuses et complexes. Elles représentent ainsi autant de risques de contrôle, de mises en demeure, ou de sanctions pour les organisations soumises à la réglementation. Les lacunes sur la conformité peuvent se traduire en risques juridiques et, par voie de conséquence, en risques financiers pour les entreprises.
Tant en phase de mise en conformité que d’amélioration continue, il est parfois délicat de savoir comment prioriser les actions lorsqu’elles ont été identifiées. Néanmoins, les autorités de contrôle de protection de données, en particulier la Commission Nationale de l’Informatique et des Libertés (CNIL), livrent de précieuses informations qui permettent de dessiner des tendances propices à l’orientation priorisée de sa conformité. Rester informé des actualités des institutions, comprendre leurs moyens de procéder et connaître les actions concrètes qui ont été conduites sont autant de leviers à utiliser pour diminuer les aléas de sanctions administratives. Aussi, plusieurs méthodes d’analyses peuvent permettre de réaliser cet objectif.
Anticiper les raisons procédant à la décision de contrôle ainsi que les méthodes de contrôle utilisées
Une première méthode d’anticipation des contrôles consiste à analyser les motivations qui peuvent inciter les autorités à s’enquérir du respect de la réglementation par une organisation. Agir sur la source qui préside à la décision de contrôler la conformité, c’est alors réduire in fine le risque que ce manquement soit constaté.
En août 2020, la CNIL publiait ainsi une charte des contrôles dans laquelle elle indiquait procéder à environ 40% des contrôles consécutivement au dépôt d’une plainte par une ou plusieurs personnes concernées. Il est cependant à noter que le nombre de plaintes est relativement stable cette année (+4%) contrairement aux années précédentes où les signalements étaient en hausse significative. A cet égard, les relations avec les personnes concernées doivent être soignées en priorité.
Mais les plaintes ne sont pas le seul élément déclencheur des opérations de vérifications par la Commission. Et à ce titre, il semblerait que les notifications de violations de données (qui constitue une obligation) soient à l’origine d’un tiers des investigations déclenchées sur l’année 2021. En ces temps de hausse de la menace cyber, il apparait indispensable de parfaire ses moyens de sécurité technique et organisationnelle.
Faut-il se préparer davantage à un contrôle en ligne, un contrôle sur pièces, ou un contrôle sur place ? Les rapports annuels d’activité de l’autorité nous donnent certains indices, dont celui de 2021. Pour répondre à la question en l’occurrence, cela peut dépendre du contexte et des intentions de l’autorité. Si avant l’année 2020, les contrôles sur place étaient majoritaires, ils sont désormais fortement concurrencés par les contrôles en ligne. Cela peut s’expliquer par la crise sanitaire en 2020, cadre dans lequel ce type de contrôle s’est réduit au « strict nécessaire ». En 2021, les contrôles de 2021 se sont quant à eux largement portés sur le contrôle de la réglementation relative aux cookies, dont les manquements peuvent assez simplement se constater à distance. Cependant, tous les types de contrôles se sont intensifiés en 2021, et le recul épidémique semble alors propice au retour des contrôles sur place. Dès lors, il convient d’être préparé à toute éventualité.
Anticiper les manquements constatés et le fondement des sanctions
Deux méthodes peuvent aider à devancer les manquements qui seront à l’origine des procédures contentieuses et précontentieuses de la CNIL : la connaissance des sanctions et mises en demeure passées d’une part, et les axes de contrôle à venir qui sont annuellement annoncés d’autre part.
Dans son rapport d’activité 2021, la Commission indique avoir sanctionné majoritairement les manquements relatifs à l’information des personnes concernées et à des durées excessives de conservation. Il est aussi intéressant à noter que la moitié des sanctions comportent un manquement à la sécurité des données, ce qui souligne l’importance de la cybersécurité dans le cadre de la protection des données. Enfin en 2021, le service des sanctions et du contentieux a mis l’accent sur la réglementation relative aux cookies : 4 sanctions financières aux montants qui s’élevaient parfois à plusieurs dizaines de millions d’euros, ainsi que 89 mises en demeures qui ont été adressées sur ce fondement (sur 135 mises en demeure parvenues en 2021 au total, ce qui représente presque le triple de l’année précédente).
En outre, il est désormais d’usage que la CNIL rende publique ses thématiques prioritaires de contrôle pour l’année en cours. Elle n’a pas manqué à la règle cette année. En 2022, l’accent sera ainsi mis sur la prospection commerciale, les outils de surveillance dans le cadre du télétravail, et l’utilisation de l’informatique en nuage. Les agents de l’autorité ont d’ailleurs déjà commencé leurs actions en adressant trois mises en demeures sur le sujet de la prospection commerciale et la transmission de données personnelles entre partenaires à ces fins.
Anticiper l’évolution de la réglementation et son application
Une troisième méthode peut enfin résider dans l’analyse récurrente des publications de l’autorité à des fins d’accompagnement. Rester constamment informé de l’actualité favorise la prévention proactive des risques.
Il n’est pas rare que la CNIL annonce une série de contrôles après la publication d’instruments de droit souple. Ainsi, suite à la publication des référentiels et recommandations en matière de cookies (1er octobre 2020), la CNIL a indiqué qu’il s’agissait d’un axe prioritaire de contrôle début 2021.
Début 2022, l’autorité publiait son référentiel en matière de gestion commerciale. Dans la foulée, elle indiquait que ce référentiel ferait l’objet des thématiques phares de l’année. Dans son rapport annuel, tout en réaffirmant son rôle en matière de cybersécurité, la CNIL donne d’ailleurs des premiers signes sur les prochaines technologies qui feront l’objet de recommandations respectueuses de la réglementation : les caméras augmentées, les transferts dans le cloud et les applications des smartphones.
De même, le président de la Commission et la formation restreinte se sont dotés d’une procédure simplifiée afin d’instruire plus aisément et donc plus rapidement les dossiers peu complexes ou de faible gravité. Les sanctions susceptibles d’être prononcées dans ce cadre sont circonscrites au rappel à l’ordre, à une amende d’un montant maximum de 20 000 € et à une injonction avec astreinte plafonnée à 100 € par jour de retard. Ces sanctions ne pourront pas être rendues publiques. Il ne semble pas douteux de penser que cette procédure simplifiée sera davantage orientée vers des structures de dimension réduite dans l’objectif de contraindre sans difficultés ces dernières.