Cookies, protection des données et sanctions : hausse de l'activité de la CNIL en 2021

2021 a été une année sans précédent pour l'activité répressive de la CNIL. Des sanctions concernant une mauvaise gestion des cookies ont été prononcées. Des géants du web ont été sanctionnés, ainsi que, par deux fois, le ministère de l'intérieur.

Logo et missions de la Cnil sur ordinateur et téléphone portables.
En 2021, la CNIL a prononcé 18 sanctions, dont 12 ont été rendues publiques, pour un montant de 214 106 000 euros. Ces sanctions comportent 15 amendes et deux rappels à l'ordre. © Wirestock - stock.adobe.com

En 2021, sur 135 mises en demeure prononcées par la CNIL, 80 concernaient la mise en conformité des acteurs ayant recours aux cookies. C'est le résultat d'une campagne de contrôles inédite.

La CNIL a publié, le 11 mai 2022, son rapport d'activité pour l'année 2021. La CNIL réaffirme que l'information et la sensibilisation du grand public sont au cœur de ses préoccupations. Cela se traduit par de nombreux vecteurs d'information, mais aussi par des réponses répressives envers des acteurs de toutes tailles et tous secteurs confondus.

Une activité répressive en forte hausse

En 2021, la CNIL a prononcé 18 sanctions, dont 12 ont été rendues publiques, pour un montant de 214 106 000 euros. Ces sanctions comportent :

  • 15 amendes (dont 5 avec injonctions sous astreinte) ;
  • 2 rappels à l'ordre avec injonctions.

Le 20 juillet 2021, la CNIL sanctionne AG2R La Mondiale d'une amende de 1,75 million d'euros pour avoir manqué aux obligations du règlement général sur la protection des données (RGPD) relatives aux durées de conservation et à l’information des personnes.

L'entreprise Monsanto a été condamnée à 400 000 euros d'amende le 26 juillet de la même année pour ne pas avoir informé les personnes dont les données étaient enregistrées dans un fichier à des fins de lobbying.

La CNIL a contribué à la sanction d'Amazon de 746 millions d'euros pour non-respect de la réglementation européenne sur les données privées en août par son homologue luxembourgeois, la Commission nationale pour la protection des données (CNPD). La CNIL est intervenue dans les procédures de contrôle après avoir transféré la plainte à la CNPD.

En ce qui concerne la gestion des cookies, la CNIL a sanctionné le 31 décembre 2021 Google et Facebook à hauteur respectivement de 150 millions d'euros et de 60 millions d'euros pour non-respect de la loi.

Par deux fois, la CNIL a prononcé des sanctions publiques à l'encontre du ministère de l'intérieur :

La CNIL au service des citoyens et des professionnels

La CNIL met à la disposition des citoyens de nombreuses fiches. Les sites de la CNIL totalisent 10,8 millions de visites en 2021. Le service en ligne "Besoin d'aide" totalise 1 555 264 consultations. La CNIL a reçu 161 475 appels en 2021, soit 33% de plus que l'année précédente, malgré la crise sanitaire et les confinements.

Les demandes portent principalement sur :

  • les cookies et autres traceurs ;
  • le déréférencement des moteurs de recherche ;
  • l'utilisation des données des salariés par les employeurs (vidéosurveillance et géolocalisation) ;
  • les donnés traitées dans le secteur bancaire ;
  • les recueils de données effectués dans le cadre de la lutte contre le Covid-19.

Un des objectifs de la CNIL est aussi d'apporter la sécurité juridique à l'ensemble des professionnels dans le cadre du RGPD.

La CNIL a publié des outils, des guides et des référentiels (récemment pour les secteurs associatif, de la santé ou de l'assurance).

La CNIL accompagne aussi les pouvoirs publics. Elle formule des avis sur des projets de textes du Parlement ou du Gouvernement. Elle examine les enjeux pour les droits des personnes et propose des solutions.