Réseaux sociaux JSS
Réseaux sociaux JSS
Réseaux sociaux JSS
Réseaux sociaux JSS
Réseaux sociaux JSS
Journal Spécial des Sociétés
11 000 plaintes reçues, en hausse de 30 % : la CNIL rend public son rapport d’activité 2018
Publié le 10/05/2019

Depuis l’entrée en application du RGPD en mai 2018, 70 % des Français se disent plus sensibles à la protection de leurs données. La CNIL a dû faire face à une explosion du nombre de plaintes, assure-t-elle dans son rapport d’activité et d’enjeux, dévoilé le 15 avril dernier.





La CNIL (Commission nationale de l’informatique et des libertés) a rendu public, le 15 avril dernier, son rapport d’activité 2018. Une année qu’elle qualifie « d’exceptionnelle », marquée par l’entrée en application du RGPD (Règlement général pour la protection des données), et par la « prise de conscience inédite des enjeux de protection des données auprès des professionnels et des particuliers », traduite par une augmentation considérable des plaintes adressées à la CNIL.


En cause : une médiatisation importante du Règlement, et une plus grande sensibilité aux questions de protection des données.
En effet, selon un sondage IFOP réalisé pour la CNIL, 62 % des Français ont entendu parler du RGPD, et 70 % se disent plus sensibles que ces dernières années à la protection de leurs données personnelles.


Résultat, en 2018, l’autorité administrative a ainsi reçu 11 077 plaintes, en augmentation de plus de 32 % par rapport à 2017, tendance confirmée en 2019.


Dans le détail, 36 % des plaintes concernent la diffusion de données sur Internet. Des plaintes qui « traduisent les difficultés rencontrées par les personnes pour maîtriser leur vie numérique, et notamment leur réputation en ligne », affirme la Commission. Dans la majorité des cas, les personnes s’adressent à la CNIL car elles n’ont pas obtenu de réponse de la part de l’organisme à l’origine de la diffusion de l’information, ou qu’il n’existe pas de procédure en ligne, notamment. En outre, plus de 20 % des plaintes concernent le secteur marketing/commerce (en particulier la prospection par SMS), et la CNIL observe également la hausse de celles liées au visionnage à distance des images issues des dispositifs vidéo par l’employeur, ou encore l’installation de caméras dans des unités de soins.


Par ailleurs, la Commission a reçu 373 demandes de déréférencement. Ce droit, désormais consacré par le RGPD, permet de demander à un moteur de recherche de supprimer certains résultats de recherche associés à ses nom et prénom. En cas de refus, la CNIL, saisie par un particulier, fait la balance entre les intérêts du public à avoir accès au contenu via les moteurs de recherche, et les droits fondamentaux de la personne.


Comment la Commission traite-t-elle, concrètement, les plaintes qu’elle reçoit ? Ces dernières se classent en réalité en deux catégories. Pour les plaintes les plus simples, la CNIL va rappeler comment exercer ses droits (la personne à l’origine de la plainte doit d’abord s’adresser au responsable du fichier ou au Délégué à la protection des données, et ce n’est qu’en cas de refus ou d’absence de réponse dans un délai d’un mois que la CNIL peut intervenir), et pour les plaintes plus complexes (soit plus de 9 000), l’autorité administrative intervient auprès du responsable du fichier mis en cause, par écrit, pour rappeler ses obligations. Elle peut aussi effectuer un contrôle sur place voire ordonner une mise en demeure ou des sanctions pécuniaires.


Toutefois, les modalités d’exercice des droits ont été modifiées pour certains fichiers de l’État. En effet, le décret du 1er août 2018 portant application de la loi Informatique et Libertés prévoit désormais, pour certains fichiers (comme le Traitement d’Antécédents Judiciaires de la police et de la gendarmerie nationales), un principe direct de l’exercice des droits auprès du responsable du traitement. La CNIL n’est donc plus l’interlocutrice première pour la majeure partie des fichiers jusqu’à présent soumis au régime du droit d’accès indirect. Ce n’est que si, au terme d’un délai de deux mois, l’administration gestionnaire lui oppose une restriction ou ne lui apporte aucune réponse, que la personne a alors la possibilité de saisir la Commission.


 


310 contrôles et 49 mises en demeure


En 2018, la CNIL a réalisé 310 contrôles, dont 204 contrôles sur place et 20 portant sur des dispositifs vidéo, notamment en matière de pièces justificatives demandées par les agences immobilières, de collecte de données dans les centres d’appels téléphoniques, ou encore de gestion des durées de conservation dans le secteur médico-social.


Si dans la majorité des cas, l’intervention de l’autorité administrative suffit à déboucher sur la mise en conformité de l’organisme, tel n’est pas toujours le cas. Ainsi, 49 mises en demeure ont eu lieu en 2018, avec deux secteurs principalement concernés : les assurances et les entreprises spécialisées dans le ciblage publicitaire (par le biais d’une technologie installée dans des applications mobiles).


La CNIL reçoit notamment un grand nombre de signalements concernant des failles de sécurité. En effet, en 2018, 90 violations de données ont été résolues, soit par simple prise de contact avec le responsable de traitement, soit par des contrôles, mises en demeure ou sanctions. Uber, Bouygues Télécom, Dailymotion ont ainsi été, entre autres, sanctionnées pour des incidents de sécurité, plus particulièrement en raison « des carences et insuffisances dans les mesures de sécurité », souligne la Commission.


S’agissant de sa doctrine « répressive », la CNIL précise que l’année 2018 a constitué une « année de transition destinée à permettre aux responsables de traitement de comprendre et assimiler les exigences du RGPD adopté en 2016 », mais que 2019 marque l’achèvement de cette phase de transition. « La CNIL vérifiera ainsi pleinement le respect des nouvelles obligations et nouveaux droits issus du cadre européen (...). Lorsqu’elle constatera des manquements, elle en tirera les conséquences qui s’imposent, jusqu’à la sanction si nécessaire. » Pour choisir la réponse appropriée, la CNIL tiendra compte de la gravité des manquements, de l’activité et de la taille de l’organisme concerné, de sa coopération et de sa bonne foi.


Enfin, dans le cadre de son programme annuel des contrôles qui représente environ un quart de ses investigations, la CNIL affirme qu’en 2019, elle concentre son action sur les plaintes et sur trois grandes thématiques, directement issues de l’entrée en application du RGPD. Les contrôles porteront donc en particulier sur l’exercice pratique des droits, la répartition des responsabilités entre les sous-traitants et les donneurs d’ordre, et les données des mineurs.


 


Rôle d’accompagnement : encore plus de sensibilisation en 2019


Outre son rôle de contrôle et de sanction, la CNIL assure en outre un rôle de conseil et d’accompagnement, rappelle-t-elle au sein de son rapport d’activité. À ce titre, elle conseille notamment les pouvoirs publics. La Commission a ainsi participé à une trentaine d’auditions parlementaires et rendu 120 avis sur des projets de texte d’origine gouvernementale concernant la protection des données personnelles ou créant de nouveaux fichiers (par exemple sur le projet d’ordonnance de réécriture de la loi « informatique et libertés »), et 110 autorisations.


En outre, la CNIL annonce qu’elle développera en 2019 des actions de sensibilisation à destination des collectivités territoriales, et tout particulièrement des petites communes. Elle proposera au premier semestre un guide pratique, une rubrique dédiée sur son site avec des fiches thématiques permettant d’aller plus loin dans la conformité. La Commission sera également présente au Salon des Maires et des collectivités locales en novembre, et enrichira son MOOC d’un module dédié aux collectivités.


L’encadrement concerne aussi les professionnels qui en expriment d’ailleurs le besoin, en particulier les petites et moyennes entreprises, indique l’autorité administrative. « Dès le premier trimestre 2018, le nombre des sollicitations émanant des professionnels a augmenté de manière significative pour atteindre sur certaines périodes des chiffres inédits (+ de 25 000 appels pour le seul mois de mai) ». Fait notable : si, à l’approche de l’entrée en application du RGPD, la majorité des questions portait sur la nécessité ou non d’effectuer des formalités auprès de la CNIL, « les problématiques ont évolué depuis et deviennent de plus en plus complexes », observe la Commission. Cette dernière est ainsi régulièrement interrogée sur les paramétrages des cookies, la conformité de logiciels au RGPD, l’interprétation de certaines dispositions du Règlement (base légale, consentement, modalités d’information des personnes, etc.), sans oublier tout ce qui a trait aux modalités concrètes d’exercice du droit des personnes. La CNIL comptabilise ainsi, en tout, près de 190 000 appels reçus en 2018 (en hausse de 22 % par rapport à 2017), et plus de 280 000 consultations des questions/réponses, avec une explosion de près de 60 % par rapport à l’année précédente.


Au titre de ses enjeux pour 2019, la Commission précise donc qu’elle a pour ambition d’amplifier cet accompagnement. Un souhait déjà concrétisé par une série de mesures.


Auprès des acteurs privés, la CNIL a ainsi formulé une offre d’accompagnement à destination des start-up, et a formalisé un partenariat avec l’espace des services publics « French Tech Central » de Station F, en organisant une vingtaine d’ateliers thématiques sur le campus de la start-up de Xavier Niel, ainsi que dans d’autres lieux de l’innovation, autour de la portabilité, de la sécurité, de la fintech, des objets connectés, etc. La Commission a également développé une plateforme intitulée Design Factory. Bientôt disponible, celle-ci permettra entre autres aux professionnels du design de « co-construire un design éthique de la protection des données ». Par ailleurs, la CNIL et la CADA (Commission d’accès aux documents administratifs) ont élaboré un guide pratique sur la publication en ligne et la réutilisation des données publiques qui « permettra de clarifier le cadre juridique applicable et de répondre aux principales problématiques rencontrées par les acteurs ».


 


Cloud computing et assistants personnels dans le viseur


Autre sujet qui doit, selon la CNIL, faire l’objet d’une attention particulière : le numérique.


L’autorité administrative annonce donc qu’elle approfondira en 2019 « ses réflexions sur les enjeux éthiques et les questions de société soulevés par l’évolution des technologies numériques ». Après l’intelligence artificielle et les algorithmes en 2018, la Commission précise qu’elle intégrera cette année « une dimension éthique, dès leur conception, à ses travaux sur les principaux sujets de société (civic tech, partage de données, etc.) ».


Selon elle, la régulation du numérique appelle un « travail de fond prioritaire sur les sujets les plus structurants et impactants ». À ce titre, deux axes de travail seront mis en lumière en 2019. Tout d’abord, le cloud computing. En effet, 55 % des entreprises ont recours au cloud pour des fonctions critiques (finances, comptabilité, CRM ou applications métiers). Or, à l’heure du RGPD qui modernise les obligations applicables aux responsables de traitements comme aux sous-traitants, l’enjeu est d’identifier si la protection des données personnelles est maîtrisée lors d’une migration vers le cloud. La Commission a donc pour ambition d’identifier de nouveaux leviers de régulation de ce secteur. Deuxième axe de travail : les assistants personnels. Il s’agira pour cet aspect de poursuivre les tests sur ces appareils, et notamment d’évaluer comment garantir que les utilisateurs sont bien informés des données collectées, des usages qui en sont faits et des moyens à leur disposition pour exercer leurs droits d’accès, modification, suppression et portabilité, ainsi que d’étudier la sécurité des données traitées et la manière dont est réalisé l’apprentissage des algorithmes d’intelligence artificielle.


 


Bérengère Margaritelli


 


0 commentaire
7 + 0 =

Journal Spécial des Sociétés - 8 rue Saint Augustin - 75002 Paris - Tél 01 47 03 10 10