Cybersécurité : La Cnil débordée en 2021, entre réglementation sur les cookies et lutte contre les rançongiciels

Une année record. Si le nombre de plaintes auprès de la Cnil semble avoir atteint un « plateau élevé » à plus de 14.000, l’année 2021 a été « sans précédent » sur le plan des sanctions. L’institution garante de la vie privée et de la liberté des internautes en France souligne dans son rapport annuel, publié ce mercredi « le nombre de mesures adoptées (18 sanctions et 135 mises en demeure) » et « le montant cumulé des amendes, qui atteint plus de 214 millions d’euros » (+55 %).

Parmi les gros dossiers, qui expliquent ces chiffres records, la gestion des cookies, des traceurs utilisés par les géants publicitaires, est au sommet de la pile. Après avoir laissé un temps d’adaptation aux entreprises, la Cnil a pu cette fois s’appuyer sur la réglementation européenne RGPD, qui prévoit des amendes allant jusqu’à 4 % du chiffre d’affaires. Ainsi, Google et Facebook ont été sanctionnés en décembre à hauteur de respectivement 150 et 60 millions d’euros, car « ils ne permettaient pas à des millions d’internautes de refuser les cookies aussi facilement que de les accepter », a rappelé la présidente de la Cnil Marie-Laure Denis lors d’une conférence de presse.

Quatorze signalements de violations de données par jour

Les deux géants ont depuis indiqué avoir modifié leur interface, a relevé la Cnil. Le régulateur a par ailleurs réitéré sa mise en garde sur l’outil d’analyse du trafic Google Analytics, sur lequel elle a annoncé 3 mises en demeure. « La récente annonce d’un accord de principe (sur les transferts de données, ndlr) entre l’UE et les Etats-Unis constitue un premier pas important, mais ne modifie pas à ce stade le cadre juridique des transferts. En l’absence d’un texte qui ne sera pas prêt avant plusieurs mois, les acteurs doivent prendre des mesures pour veiller au respect de la protection des données », a déclaré Marie-Laure Denis.

La Commission a également observé une hausse spectaculaire des signalements de violations de données, plus de 14 par jour en moyenne, liée à la prise de conscience par les entreprises de l’obligation de signaler toute fuite de données personnelles, mais aussi à la « très forte croissance des attaques informatiques, notamment les attaques par rançongiciels » qui ciblent d’abord les entreprises, les collectivités et les organismes publics, particulièrement dans le secteur de la santé. Quelque 3.000 violations, soit 59 % des signalements, résultaient d’un piratage informatique, et plus de 2.150 étaient liées à des rançongiciels, a-t-elle établi.

Une institution en manque de moyens

Face à cette activité en hausse et à la perspective d’obtenir de nouvelles missions à travers la nouvelle régulation européenne sur le numérique (DSA, DMA, Data Act, règlement sur l’intelligence artificielle, règlement ePrivacy), la Cnil veut faire évoluer ses pratiques. Elle compte « prendre davantage de petites sanctions » en s’appuyant sur une procédure simplifiée permettant au seul président de sa formation restreinte de prononcer des amendes d’un montant maximal de 20.000 euros, et des astreintes de 100 euros par jour maximum.

« Quand on sanctionne par exemple un cabinet de dentiste, on a constaté que ça permet de mettre en conformité tout un secteur », a justifié Marie-Laure Denis. Mais cette réforme est aussi l’occasion d’alléger un peu le travail d’une institution saturée. « C’est une vraie nécessité de conforter les moyens de la Cnil », a-t-elle poursuivi. L’institution disposera fin 2022 de 270 agents pour un budget de quelque 22 millions d’euros, encore loin de ses homologues britannique et allemande qui comptent près de 1.000 agents.