La Cnil, gardienne de la vie privée des Français face au numérique a prononcé 14 sanctions et 49 mises en demeure en 2020, une augmentation par rapport à 2019, selon le rapport annuel de l'institution publié mardi.

En 2019, la Cnil avait prononcé 8 sanctions et 42 mises en demeure.

Le total des amendes infligées augmente lui aussi nettement à 138,5 millions d'euros contre 51,4 millions d'euros un an auparavant, sous l'effet de deux sanctions record pour Google et Amazon au titre de leur politique en matière de cookies (respectivement 100 et 35 millions d'euros).

Le nombre de plaintes reçues par la Cnil a légèrement diminué en 2020, avec 13.585 plaintes reçues.

Mais le nombre de notifications de violation de données personnelles a augmenté de 24% à 2.825, sous l'effet notamment d'une vague d'attaques au rançongiciel constatée en 2020.

Le piratage informatique est à lui seul à l'origine de 1.315 notifications de violation de données personnelles, soit +70% sur l'année antérieure.

Le nombre de visites sur le site de la Cnil a par ailleurs augmenté de 21% à 9,7 millions, un niveau record selon l'institution.

Dans un avant-propos, la présidente de la Cnil Marie-Laure Denis estime que la crise sanitaire a "prouvé la grande robustesse du RGPD", la nouvelle législation européenne sur la protection des données entrée en vigueur en 2018 que la Cnil est chargée de faire respecter.

"Le RGPD s'est montré suffisamment souple pour permettre aux Etats membres de l'Union européenne de prendre en compte la nécessité de traiter et de partager des informations dans un contexte sanitaire exceptionnel", a-t-elle estimé.

La Cnil a ainsi autorisé 89 projets de recherche scientifique sur le Covid-19 nécessitant d'accéder à des données personnelles, sur une centaine de dossiers reçus, indique-t-elle dans son rapport.

Il s'agissait par exemple de réutiliser les données de dossiers médicaux de patients n'étant pas en état d'être informés, sous réserve de leur permettre un droit d'effacement ultérieurement.

Ou bien d'accepter que des données de mineurs soient utilisées avec l'autorisation d'un seul parent, s'il était trop difficile de consulter l'autre parent dans les temps.