Depuis l’entrée en
application du RGPD en mai 2018, 70 % des Français se disent plus
sensibles à la protection de leurs données. La CNIL a dû faire face à une
explosion du nombre de plaintes, assure-t-elle dans son rapport d’activité et
d’enjeux, dévoilé le 15 avril dernier.
La CNIL
(Commission nationale de l’informatique et des libertés) a rendu public, le
15 avril dernier, son rapport d’activité 2018. Une année qu’elle qualifie
« d’exceptionnelle », marquée par l’entrée en application du
RGPD (Règlement général pour la protection des données), et par la « prise
de conscience inédite des enjeux de protection des données auprès des
professionnels et des particuliers », traduite par une augmentation
considérable des plaintes adressées à la CNIL.
En
cause : une médiatisation importante du Règlement, et une plus grande
sensibilité aux questions de protection des données.
En effet, selon un sondage IFOP réalisé pour la CNIL, 62 % des Français
ont entendu parler du RGPD, et 70 % se disent plus sensibles que ces
dernières années à la protection de leurs données personnelles.
Résultat, en
2018, l’autorité administrative a ainsi reçu 11 077 plaintes, en
augmentation de plus de 32 % par rapport à 2017, tendance confirmée en
2019.
Dans le
détail, 36 % des plaintes concernent la diffusion de données sur Internet.
Des plaintes qui « traduisent les difficultés rencontrées par les
personnes pour maîtriser leur vie numérique, et notamment leur réputation en
ligne », affirme la Commission. Dans la majorité des cas, les
personnes s’adressent à la CNIL car elles n’ont pas obtenu de réponse de la
part de l’organisme à l’origine de la diffusion de l’information, ou qu’il
n’existe pas de procédure en ligne, notamment. En outre, plus de 20 % des
plaintes concernent le secteur marketing/commerce (en particulier la
prospection par SMS), et la CNIL observe également la hausse de celles liées au
visionnage à distance des images issues des dispositifs vidéo par l’employeur,
ou encore l’installation de caméras dans des unités de soins.
Par
ailleurs, la Commission a reçu 373 demandes de déréférencement. Ce droit,
désormais consacré par le RGPD, permet de demander à un moteur de recherche de
supprimer certains résultats de recherche associés à ses nom et prénom. En cas
de refus, la CNIL, saisie par un particulier, fait la balance entre les
intérêts du public à avoir accès au contenu via les moteurs de
recherche, et les droits fondamentaux de la personne.
Comment la Commission traite-t-elle, concrètement, les plaintes qu’elle
reçoit ? Ces dernières se classent en réalité en deux catégories. Pour les
plaintes les plus simples, la CNIL va rappeler comment exercer ses droits (la
personne à l’origine de la plainte doit d’abord s’adresser au responsable du
fichier ou au Délégué à la protection des données, et ce n’est qu’en cas de
refus ou d’absence de réponse dans un délai d’un mois que la CNIL peut
intervenir), et pour les plaintes plus complexes (soit plus de 9 000),
l’autorité administrative intervient auprès du responsable du fichier mis en
cause, par écrit, pour rappeler ses obligations. Elle peut aussi effectuer un
contrôle sur place voire ordonner une mise en demeure ou des sanctions
pécuniaires.
Toutefois,
les modalités d’exercice des droits ont été modifiées pour certains fichiers de
l’État. En effet, le décret du 1er août 2018 portant
application de la loi Informatique et Libertés prévoit désormais, pour certains
fichiers (comme le Traitement d’Antécédents Judiciaires de la police et de la
gendarmerie nationales), un principe direct de l’exercice des droits auprès du
responsable du traitement. La CNIL n’est donc plus l’interlocutrice première
pour la majeure partie des fichiers jusqu’à présent soumis au régime du droit
d’accès indirect. Ce n’est que si, au terme d’un délai de deux mois,
l’administration gestionnaire lui oppose une restriction ou ne lui apporte
aucune réponse, que la personne a alors la possibilité de saisir la Commission.
310
contrôles et 49 mises en demeure
En 2018, la
CNIL a réalisé 310 contrôles, dont 204 contrôles sur place et 20 portant
sur des dispositifs vidéo, notamment en matière de pièces justificatives
demandées par les agences immobilières, de collecte de données dans les centres
d’appels téléphoniques, ou encore de gestion des durées de conservation dans le
secteur médico-social.
Si dans la
majorité des cas, l’intervention de l’autorité administrative suffit à
déboucher sur la mise en conformité de l’organisme, tel n’est pas toujours le
cas. Ainsi, 49 mises en demeure ont eu lieu en 2018, avec deux secteurs
principalement concernés : les assurances et les entreprises spécialisées
dans le ciblage publicitaire (par le biais d’une technologie installée dans des
applications mobiles).
La CNIL
reçoit notamment un grand nombre de signalements concernant des failles de
sécurité. En effet, en 2018, 90 violations de données ont été résolues,
soit par simple prise de contact avec le responsable de traitement, soit par
des contrôles, mises en demeure ou sanctions. Uber, Bouygues Télécom,
Dailymotion ont ainsi été, entre autres, sanctionnées pour des incidents de
sécurité, plus particulièrement en raison « des carences et
insuffisances dans les mesures de sécurité », souligne la Commission.
S’agissant
de sa doctrine « répressive », la CNIL précise que l’année 2018 a
constitué une « année de transition destinée à permettre aux
responsables de traitement de comprendre et assimiler les exigences du RGPD
adopté en 2016 », mais que 2019 marque l’achèvement de cette phase de
transition. « La CNIL vérifiera ainsi pleinement le respect des
nouvelles obligations et nouveaux droits issus du cadre européen (...).
Lorsqu’elle constatera des manquements, elle en tirera les conséquences qui
s’imposent, jusqu’à la sanction si nécessaire. » Pour choisir la
réponse appropriée, la CNIL tiendra compte de la gravité des manquements, de
l’activité et de la taille de l’organisme concerné, de sa coopération et de sa
bonne foi.
Enfin, dans
le cadre de son programme annuel des contrôles qui représente environ un quart
de ses investigations, la CNIL affirme qu’en 2019, elle concentre son action
sur les plaintes et sur trois grandes thématiques, directement issues de
l’entrée en application du RGPD. Les contrôles porteront donc en particulier
sur l’exercice pratique des droits, la répartition des responsabilités entre les
sous-traitants et les donneurs d’ordre, et les données des mineurs.
Rôle d’accompagnement : encore
plus de sensibilisation en 2019
Outre son rôle de contrôle et de sanction, la CNIL assure en outre un
rôle de conseil et d’accompagnement, rappelle-t-elle au sein de son rapport
d’activité. À ce titre, elle conseille notamment les pouvoirs publics. La
Commission a ainsi participé à une trentaine d’auditions parlementaires et
rendu 120 avis sur des projets de texte d’origine gouvernementale concernant
la protection des données personnelles ou créant de nouveaux fichiers (par
exemple sur le projet d’ordonnance de réécriture de la loi « informatique
et libertés »), et 110 autorisations.
En outre, la CNIL annonce qu’elle développera en 2019 des actions de
sensibilisation à destination des collectivités territoriales, et tout
particulièrement des petites communes. Elle proposera au premier semestre un
guide pratique, une rubrique dédiée sur son site avec des fiches thématiques
permettant d’aller plus loin dans la conformité. La Commission sera également
présente au Salon des Maires et des collectivités locales en novembre, et
enrichira son MOOC d’un module dédié aux collectivités.
L’encadrement concerne aussi les professionnels qui
en expriment d’ailleurs le besoin, en particulier les petites et moyennes
entreprises, indique l’autorité administrative. « Dès le premier
trimestre 2018, le nombre des sollicitations émanant des professionnels a
augmenté de manière significative pour atteindre sur certaines périodes des
chiffres inédits (+ de 25 000 appels pour le seul mois de mai) ».
Fait notable : si, à l’approche de l’entrée en application du RGPD, la
majorité des questions portait sur la nécessité ou non d’effectuer des
formalités auprès de la CNIL, « les problématiques ont évolué depuis et
deviennent de plus en plus complexes », observe la Commission. Cette
dernière est ainsi régulièrement interrogée sur les paramétrages des cookies,
la conformité de logiciels au RGPD, l’interprétation de certaines dispositions
du Règlement (base légale, consentement, modalités d’information des personnes,
etc.), sans oublier tout ce qui a trait aux modalités concrètes d’exercice du
droit des personnes. La CNIL comptabilise ainsi, en tout, près de
190 000 appels reçus en 2018 (en hausse de 22 % par rapport à
2017), et plus de 280 000 consultations des questions/réponses, avec
une explosion de près de 60 % par rapport à l’année précédente.
Au titre de
ses enjeux pour 2019, la Commission précise donc qu’elle a pour ambition
d’amplifier cet accompagnement. Un souhait déjà concrétisé par une série de
mesures.
Auprès des acteurs privés, la CNIL a ainsi formulé une offre
d’accompagnement à destination des start-up, et a formalisé un partenariat avec
l’espace des services publics « French Tech Central » de
Station F, en organisant une vingtaine d’ateliers thématiques sur le
campus de la start-up de Xavier Niel, ainsi que dans d’autres lieux de
l’innovation, autour de la portabilité, de la sécurité, de la fintech, des objets
connectés, etc. La Commission a également développé une plateforme intitulée
Design Factory. Bientôt disponible, celle-ci permettra entre autres aux
professionnels du design de « co-construire un design éthique de la
protection des données ». Par ailleurs, la CNIL et la CADA (Commission
d’accès aux documents administratifs) ont élaboré un guide pratique sur la
publication en ligne et la réutilisation des données publiques qui « permettra
de clarifier le cadre juridique applicable et de répondre aux principales problématiques
rencontrées par les acteurs ».
Cloud computing et assistants personnels dans le
viseur
Autre sujet
qui doit, selon la CNIL, faire l’objet d’une attention particulière : le
numérique.
L’autorité administrative annonce donc qu’elle approfondira en 2019 « ses
réflexions sur les enjeux éthiques et les questions de société soulevés par
l’évolution des technologies numériques ». Après l’intelligence
artificielle et les algorithmes en 2018, la Commission précise qu’elle
intégrera cette année « une dimension éthique, dès leur conception, à
ses travaux sur les principaux sujets de société (civic tech, partage de
données, etc.) ».
Selon elle, la régulation du numérique appelle un « travail de
fond prioritaire sur les sujets les plus structurants et impactants ».
À ce titre, deux axes de travail seront mis en lumière en 2019. Tout d’abord,
le cloud computing. En effet, 55 % des entreprises ont recours au
cloud pour des fonctions critiques (finances, comptabilité, CRM ou applications
métiers). Or, à l’heure du RGPD qui modernise les obligations applicables aux
responsables de traitements comme aux sous-traitants, l’enjeu est d’identifier
si la protection des données personnelles est maîtrisée lors d’une migration
vers le cloud. La Commission a donc pour ambition d’identifier de nouveaux
leviers de régulation de ce secteur. Deuxième axe de travail : les
assistants personnels. Il s’agira pour cet aspect de poursuivre les tests sur
ces appareils, et notamment d’évaluer comment garantir que les utilisateurs
sont bien informés des données collectées, des usages qui en sont faits et des
moyens à leur disposition pour exercer leurs droits d’accès, modification,
suppression et portabilité, ainsi que d’étudier la sécurité des données
traitées et la manière dont est réalisé l’apprentissage des algorithmes
d’intelligence artificielle.
Bérengère Margaritelli