Dans son 42e rapport d’activité, la CNIL revient sur son bilan de l’année 2021, marqué par une action répressive dissuasive renforcée.

Caractérisée par : 

• une hausse tangible du nombre de contrôles réalisés, passant de 247 en 2020 à 387 en 2021 (+56%).
• une hausse de +55% du montant des sanctions financières. 15 amendes s’établissent à un montant total de 214 millions d’euros (contre 138 millions d’euros en 2020), en forte hausse de +76 millions d’euros (soit +55%).

Les violations de données notifiées ressortent en très forte progression dans le rapport.

Selon la CNIL, cette tendance est portée principalement par le piratage informatique, toujours en forte progression dans les entreprises.

Toujours selon la CNIL, une autre explication se trouve dans l’appropriation des déclarations obligatoires des cyberincidents est en marche  chez les responsables de traitement. Ils prennent conscience qu’ils doivent améliorer leur détection d’incident, mais aussi mettre en place les procédures de qualifications et de gestion d’incidents de violations de données.

Troisième explication : le rapport de la CNIL énonce les cas de notifications par vague, résultant de 2 cyberincidents majeurs connus chez 2 sous-traitants avec des impacts de notifications importants chez leurs nombreux clients (responsables de traitements) :

• Respectivement l’incendie en mars 2021 du data center  d’un hébergeur de données.
• Puis la fuite massive (0,5 million de patients concernés) des données de santé d’un laboratoire d’analyses médicales.

Selon le rapport de la CNIL, la part des violations de données de santé notifiées en 2021 représente 18% du total des violations notifiées.

Pour rappel, les données de santé font l’objet d’un encadrement particulier par la loi RGPD et sont qualifiées sensibles, suivant une définition très large comprenant par exemple :

1. les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services : un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ;
2. les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques ;
3. les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée (indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro).