La CNIL a publié le 11 mai son rapport annuel d’activités pour l’année 2021. Celle-ci a été marquée par une mobilisation accrue en matière de cybersécurité.
Si les actions répressives se sont renforcées, la CNIL s’efforce également d’accompagner les différents acteurs économiques concernés par la problématique des données personnelles, au premier chef desquels figurent naturellement les assureurs, notamment dans le domaine de la santé du fait du caractère très sensible de ces données.
Le rapport d’activités de la CNIL
L’année 2021 a marqué un renforcement des contrôles et des réponses répressives :
- 14 143 plaintes reçues (4% de plus qu’en 2020)
- 12 522 plaintes clôturées
- 384 contrôles ayant conduit à prononcer 135 mises en demeures et 18 sanctions.
- Le montant cumulé des amendes dépasse les 214 millions d’euros, un record
La cybersécurité du web français a fait en particulier l’objet d’une attention marquée : 22 organismes dont 15 publics ont été contrôlés, la CNIL ayant constaté de façon générale « des moyens insuffisants au regard des enjeux de sécurité actuels », pointant des « suites cryptographiques obsolètes » et des « insuffisances en matière de mots de passe. »
La CNIL a reçu en effet 5 037 notifications de violations de données en 2021, soit une augmentation de 79% par rapport à 2020.
S’attachant à permettre à tous les organismes de respecter au mieux la vie privée de leurs clients et utilisateurs, la CNIL rappelle avoir mis à disposition « une offre déjà conséquente » en ce sens, « enrichie et mise à jour chaque année. »
De nouveaux « guides et ressources sectoriels, notamment pour le secteur associatif, de l’assurance ou de la santé, » ont en effet été publiés sur le site web de l’instance.
« L’émergence permanente de nouvelles technologies et l’omniprésence des traitements de données personnelles dans tous les champs de la vie sont les défis auxquels la CNIL sera encore confrontée en 2022 », souligne la Présidente de la CNIL Marie-Laure Denis.
La construction d’une souveraineté numérique à l’échelle européenne
Véritable enjeu de souveraineté comme l’a expliqué dans une tribune Stéphane Fantuz, Président de la CNCEF Assurance, la sécurisation des données numériques s’organise à l’échelle européenne, la CNIL ayant participé aux travaux du Comité européen de la protection des données : ceux-ci sont consacrés « aux législations européennes sur la gouvernance des données (DGA), sur les services numériques (DSA), les marchés numériques (DMA) et l’intelligence artificielle (IA). »
La CNIL rappelle également les importantes répercussions de l’arrêt « Schrems II » de la Cour de justice de l’Union européenne du 16 juillet 2020, celui-ci ayant invalidé le cadre prévu à l’époque pour permettre le transfert de données de l’Union européenne (UE) vers les États-Unis. Alertant sur « les risques d’accès illégaux par les autorités américaines aux données stockées dans l’UE », la CNIL a ainsi initié des contrôles sur la base de plaintes.
La commission a également rencontré tout au long de l’année « l’ensemble des acteurs ayant annoncé des projets de partenariat en matière de cloud de confiance », dont le développement ne saurait se passer d’une protection appropriée des données personnelles, afin d’écarter « tout risque d’accès illégal par des autorités étrangères. »
Enfin au niveau mondial, la CNIL rappelle son rôle actif joué lors de la 43ème réunion de l’Assemblée mondiale de la vie privée (GPA), l’instance française ayant élaboré deux résolutions importantes, concernant « l’encadrement de l’accès par les gouvernements aux données détenues par le secteur privé », et « la protection des droits numériques des mineurs » : cette dernière résolution fait écho aux 8 recommandations que la CNIL avait établies sur ce sujet en juin 2021.
La sécurité des données de santé, au cœur des préoccupations
Autre sujet particulièrement sensible, la sécurité des données de santé fait naturellement l’objet d’une attention particulière.
30 nouvelles missions de contrôle ont été menées auprès de laboratoires d’analyses médicales, d’hôpitaux, de prestataires et de data brokers en données de santé, « en particulier sur les traitements en lien avec l’épidémie de COVID-19 ».
Inévitablement, l’assurance n’échappe pas à la vigilance du régulateur. La CNIL mentionne dans son rapport que 25 % des requêtes traitées en 2021 proviennent du secteur « Banque / Crédit / Assurance ».
Comme le souligne la journaliste Constance Bonnier dans un article sur Actu-Juridique.fr, « le secteur de l’assurance bénéficie, depuis de nombreuses années, d’un accompagnement spécifique de la CNIL compte tenu des enjeux liés aux traitements mis en œuvre, notamment en ce qu’ils impliquent souvent des données de santé. »
Cet accompagnement a consisté à mettre en œuvre les actions suivantes :
- la publication de fiches pratiques d’information en juillet 2021, celles-ci reprenant essentiellement le guide élaboré par le secteur de l’assurance, en association avec France Assureurs.
- l’animation régulière de « clubs conformité » avec les principaux représentants du secteur de l’assurance : France Assureurs, le Centre technique des institutions de prévoyance, la Fédération nationale de la mutualité française…
- le développement d’outils facilitant le développement d’une « innovation numérique vertueuse». Ainsi depuis 2017, la CNIL déploie une « stratégie start-up » ayant permis cette année pour la première fois la mise en place « d’un bac à sable de données personnelles pour la santé », afin d’accompagner 12 projets novateurs : recherche d’une solution de réalité virtuelle à visée thérapeutique, élaboration d’indicateurs statistiques anonymes, etc.
A noter que l’année 2022 sera marquée par l’organisation « d’une première conférence académique sur la protection des données », afin de soutenir la recherche scientifique au service de la régulation du numérique.
Comme le conclut Marie-Laure Denis, « plus que jamais, c’est le respect d’un équilibre entre accompagnement de la transformation numérique et protection des droits des personnes qui permettra de relever les défis soulevés par la numérisation de notre environnement quotidien. »