Comme chaque année, la CNIL a publié, le 11 mai dernier, son rapport d’activité pour l’année 2021.

Ce rapport met en avant l’activité particulièrement intense de la CNIL d’une part, et présente sa stratégie d’action pour les années à venir d’autre part.

Concernant son activité pour l’année 2021, la Commission fait le point sur son action d’accompagnement des opérateurs économiques dans leur démarche de conformité au RGPD mais aussi sur le contrôle du respect du règlement par ces derniers. Ces actions, concernant d’ailleurs plusieurs secteurs y compris celui de l’assurance, sont présentées en détail dans le rapport. Il s’agit notamment : 

• de l’accompagnement de 12 projets économiques via sa stratégie innovante « start-up » ;
• du contrôle progressif du respect des mesures de sécurité concernant les données de santé et de la cybersécurité (22 contrôles) ;
• du contrôle accru du respect du droit des données personnelles, notamment en matière de cookies et autres traceurs (89 mises en demeure en 2021).

S’agissant plus particulièrement du secteur de l’assurance, celui-ci a fait en 2021 l’objet d’un accompagnement privilégié mais aussi d’une surveillance accrue, compte tenu des données sensibles que les organismes et les distributeurs d’assurance sont amenés à traiter. En effet :

• la CNIL a animé en 2021 certains clubs conformité avec les principaux représentants du secteur (FA, FNFM, CTIP). Ces rencontres ont notamment permis la mise à jour du pack conformité assurance en juillet 2021 ;
• 25 % des plaintes traitées par la CNIL concernent le secteur banque-crédit-assurance ;
• 10 % des notifications de violation des données reçues par la CNIL concernent les activités financières et d’assurance.

Les enquêtes menées ont ainsi permis de constater de nombreuses vulnérabilités, des insuffisances dans les politiques de mots de passe ou encore des suites cryptographiques obsolètes. Ce qui nous alerte sur la nécessité de renforcer la sécurité de notre système numérique face aux cyberattaques.  

Concernant sa stratégie pour les années à venir, la CNIL confirme son intention de renforcer le respect effectif des droits sur la protection des données en mettant en œuvre des moyens d’accompagnement et de sanction qui sont agiles, équilibrées et efficaces. C’est ainsi qu’elle précise ses orientations autour des trois axes prioritaires suivants :

• favoriser la maitrise et le respect des droits des personnes sur le terrain, par le renforcement des actions de sensibilisation, d’accompagnement et des actions répressives;
• promouvoir le RGPD comme un atout de confiance pour les organismes, par la fourniture d’orientations pratiques et claires aux responsables de traitement, le renforcement de sa stratégie d’accompagnement et le développement d’outils de certification et de codes de conduite ;
• prioriser des actions de régulation ciblées sur des sujets à fort enjeu pour la vie privée, tel que les transferts des données dans l’informatique en nuage (Cloud) et les collectes des données personnelles dans les applications des smartphones.

En résumé, la CNIL renouvelle sa politique d’accompagnement, sa mobilisation accrue sur la cybersécurité et prévoit de renforcer son action répressive.

Consultez ici l’intégralité du rapport : Rapport annuel 2021 CNIL