Réseaux sociaux JSS
Réseaux sociaux JSS
Réseaux sociaux JSS
Réseaux sociaux JSS
Réseaux sociaux JSS
Journal Spécial des Sociétés
CNIL : rapport d’activité 2017 et enjeux 2018
Publié le 22/05/2018


Isabelle Falque-Pierrotin, la présidente de la CNIL, a présenté en avril dernier le bilan de l’activité 2017 de la Commission ainsi que les enjeux pour l’année en cours. 2017 s’est caractérisée par une préparation active de la transition vers le règlement général sur la protection des données (RGPD), qui entre en vigueur le 25 mai 2018. Tout en répondant aux multiples demandes des organismes privés et publics dans ce domaine, la CNIL a dû également poursuivre ses autres activités et traiter un nombre record de plaintes et demandes d’information.


 


La CNIL au service des citoyens


« Cette année, il me paraissait important d’apporter un éclairage un peu précis sur ce que la CNIL fait pour le grand public », a commencé la présidente de la Commission. Et Xavier Delporte, en charge de cette partie de la présentation, d’expliquer : « la CNIL ne s’intéresse pas qu’aux professionnels, mais aussi à nos concitoyens dans l’idée de les aider à mieux maîtriser le sort qui est réservé à leurs données personnelles ».


D’abord, grâce au site internet de la CNIL qui a reçu en 2017, 1,8 million de visites supplémentaire, soit 4,4 millions de visites au total. Le service d’aide en ligne « Besoin d’aide » a reçu 14 701 demandes (+21 % par rapport à 2016). Pour rappel, la CNIL propose sur son site de nombreuses fiches pratiques et conseils à destination des particuliers : les conseils pour un bon mot de passe (article le plus lu), jouets connectés, utilisation d’un WIFI public… La Commission propose aussi à destination des plus jeunes des vidéos, « dans un style un peu moins institutionnel », a expliqué Monsieur Delporte « car la maîtrise de ses données commence dès le plus jeune âge ». Ainsi, la vidéo « Protéger sa vie privée en 6 étapes » réalisée par Le Rire Jaune, en partenariat avec la MGEN a atteint plus de quatre millions de vues sur YouTube.


En ce qui concerne les plaintes, la Commission en a reçu pas moins de 8 360, un record. 27 % d’entre elles concernent la diffusion de données personnelles sur Internet (sites, blogs, réseaux sociaux…) et notamment leur suppression ou leur rectification, indique le document de présentation du rapport d’activité 2017 de la CNIL. Afin de sensibiliser les individus à la protection de leurs données, la CNIL diffuse de nombreux conseils pratiques à leur attention : réglage des paramètres de confidentialité, recours à des pseudonymes, fermetures des comptes non actifs… La Commission a ainsi reçu 335 demandes de référencement à la suite du refus de la part des moteurs de recherche. 25 % de ces plaintes concernent le secteur marketing/commerce et surtout la prospection par courriel, téléphone ou courrier. Pour agir plus efficacement contre les spams, la CNIL a modifié l’an passé ses méthodes d’instruction et renforcé sa collaboration avec l’association Signal spam. Cette dernière « centralise les signalements », afin que la CNIL puisse mieux identifier derrière les auteurs de spams, ont expliqué les intervenants de ce jour.


Parmi ces plaintes, 16 % concernent les ressources humaines (géolocalisation, vidéosurveillance excessive…), 12 % la banque et le crédit, et 8 % le secteur santé et social (difficulté à accéder à son dossier médical, Pôle emploi…). Ces diverses réclamations ont permis à la CNIL d’identifier des tendances émergentes comme : les objets connectés ; les dispositifs de lecture automatisée de plaque d’immatriculation, en lien avec la dépénalisation du stationnant payant ; l’accès aux messageries professionnelles des salariés absents ou ayant quitté l’entreprise ; la réutilisation par des sites internet des données des autoentrepreneurs publiées sur les annuaires professionnels, etc.


Concernant les demandes de droit d’accès indirect, la CNIL note un léger infléchissement du nombre de demandes, mais des vérifications en hausse. Elle a ainsi reçu 4 039 demandes qui ont donné lieu à plus de 8 000 vérifications. 49 % de ces demandes reçues ont porté sur le fichier TAJ des antécédents judiciaires de la police et de la gendarmerie, les autres sur le fichier FICOBA de l’administration fiscale, et les fichiers de renseignements.

 


La CNIL au service des pouvoirs publics


Dans un rapport de synthèse du rapport d’activité de la Commission, l’organisme indique avoir rendu 4 124 décisions et délibérations dont 177 avis portant notamment sur différents champs d’activité, tels que le prélèvement à la source de l’impôt sur le revenu, la santé, la régulation du numérique (la CNIL a ainsi rendu un avis sur le projet de loi relatif à la protection des données personnelles), la sécurité (même si la CNIL n’a pas été saisie du projet de loi renforçant la sécurité intérieure et la lutte contre le terrorisme, elle a néanmoins choisi d’examiner ce texte en formation plénière).

 


L’activité répressive de la CNIL


Le rôle de la Commission n’est pas seulement de protéger ou d’informer, elle a également le pouvoir de contrôler et de sanctionner si elle constate des manquements à la loi, ou sinon d’anticiper ces manquements. « La CNIL avance sur ses deux jambes, l’accompagnement d’une part, mais aussi l’activité répressive », a ainsi précisé Isabelle Falque-Pierrotin.


Ainsi, en 2017 la CNIL a réalisé 341 contrôles dont 256 contrôles sur place, 65 contrôles en ligne, 20 contrôles sur pièces et sur convocation.


Ceux-ci ont concerné les domaines suivants : la sécurité des données, elle a ainsi mis fin à près de 80 violations de données (5 ont donné lieu à des sanctions pécuniaires) ; les défenses des droits des personnes (environ 15 % des mises en demeure de la Commission ont concerné la non-prise en compte des droits de rectification ou d’opposition des plaignants) ; la coopération avec les homologues européens sur des acteurs internationaux - la CNIL a ainsi rendu une sanction pécuniaire à l’encontre de Facebook concernant l’absence de base légale à la combinaison massive de données et l’utilisation de dispositifs de traçage déloyaux.


Des contrôles ont également été réalisés dans le cadre du programme annuel sur la confidentialité des données de santé traitées par les sociétés d’assurance, les fichiers de renseignement (les constats ont porté avant tout sur la doctrine d’utilisation des fichiers, la pertinence des données enregistrées…), les télévisions connectées.


En ce qui concerne plus particulièrement les sanctions, il faut d’abord rappeler que l’objectif de la CNIL vise avant tout la conformité des organismes mis en cause. Ainsi, à chaque phase d’instruction d’une plainte ou d’un contrôle, avant que tombe la sanction, les intéressés ont la possibilité de suivre les mesures de recommandations de la CNIL, et dans l’immense majorité des cas, la simple intervention de la CNIL suffit.


En 2017, 79 mises en demeure ont été adoptées notamment sur des jouets connectés, Admission Post-Bac, la transmission des données de WhatsApp à Facebook. En outre, 14 sanctions ont été prononcées, dont 9 sanctions pécuniaires et 5 avertissements.

 


L’activité prospective de la CNIL


Enfin, « nous sommes attachés à ce qu’en même temps que nous régulons le présent nous essayions de bien comprendre le futur », a expliqué la présidente de la CNIL. Elle a de ce fait évoqué deux missions particulièrement intéressantes menées par la CNIL l’an passé : celui de la plateforme LINC (Laboratoire d’innovation numérique de la CNIL) sur la ville numérique, ainsi que les travaux menés sur l’intelligence artificielle.


À propos de ces derniers, Isabelle Falque-Pierrotin a déclaré : « on y propose les conditions permettant à notre pays de faire une proposition d’intelligence artificielle qui soit éthique, car respectant le droit des personnes ». « Nous sommes convaincus qu’il y a une possibilité pour la France et pour l’Europe de faire valoir cette approche éthique, et de le faire valoir comme un argument de différentiation concurrentielle sur le sujet, à l’heure où les Chinois, les Russes, les Américains sont en train de dire qu’ils vont gagner la bataille de l’intelligence artificielle », a-t-elle poursuivi.


Pour rappel, dans ses travaux, la CNIL a réfléchi sur les questions éthiques et de société posées par les nouvelles technologies, une mission dont elle avait été chargée dans le cadre de la loi pour une République numérique. Le 15 décembre dernier, la Commission a publié le rapport de synthèse du débat public ouvert et décentralisé qu’elle avait animé de janvier à octobre 2017 et ayant impliqué soixante partenaires dans tout l’Hexagone. Dans ce rapport, deux principes ont été proposés par la CNIL et pourraient s’inscrire dans une nouvelle génération de garanties et droits fondamentaux : un principe de loyauté des systèmes d’IA selon lequel tout algorithme devrait être loyal envers des utilisateurs en tant que citoyens, et envers des communautés ou grands intérêts collectifs ; un principe de vigilance qui s’applique à l’ensemble des maillons de la chaîne qui consiste à questionner régulièrement les usages et natures des objets technologiques. Dans ce document, la CNIL indique également six recommandations, parmi lesquelles : former à l’éthique tous les acteurs impliqués dans les chaînes d’IA, rendre les systèmes plus compréhensibles, constituer une plate-forme nationale d’audit des algorithmes, encourager la recherche sur l’IA éthique…


Pour l’année en cours, la CNIL s’est donnée pour missions : premièrement, d’accompagner les professionnels dans leur transition vers le RGDP (Règlement général sur la protection des données) jusqu’au 25 mai et après ; deuxièmement, de poursuivre ses efforts d’accompagnement en faveur de l’innovation, initiés depuis plusieurs années déjà.


 

Accompagner la transition vers le RGPD



Le RGPD  « est une énorme montagne » a affirmé la présidente de la CNIL lors de la présentation du rapport d’activité : « cela a occupé énormément de nos ressources en 2017, et ceci alors que l’activité traditionnelle de la CNIL continue » a-t-elle poursuivi. La Commission a en effet dû fournir d’immenses efforts d’organisation et d’adaptation internes pour répondre à toutes les sollicitations dont elle a été l’objet à ce sujet.


L’année dernière, la permanence de renseignement juridique de la CNIL a reçu plus de 67 000 appels à ce sujet. À noter que les professionnels peuvent s’appuyer sur de nombreux outils de préparation et de mise en conformité au RGPD, disponibles sur le site de la Commission : méthode en six étapes qui permet aux organismes de mettre en œuvre l’essentiel des mesures pour être prêts le 25 mai prochain, modèle de registre, adoption par le G29 (groupe des CNIL européennes) de plusieurs lignes directrices qui assurent une compréhension commune des points clés du RGPD au niveau européen, des foires aux questions permettant aux professionnels de prendre connaissance rapidement des principales nouveautés issues du RGPD, un formulaire de désignation du délégué à la protection des données, etc.


Rappelons que dès 2012, la CNIL avait déjà anticipé le règlement en développant des outils de conformité comme le correspondant informatique et libertés (CIL), les packs de conformité qui permettent de promouvoir de bonnes pratiques et de décliner de façon opérationnelle les obligations, des labels…


« Le 25 mai, nous devons être prêts, quand je dis "nous" c’est le régulateur et l’ensemble des acteurs concernés par ce règlement », a rappelé la présidente de la CNIL évoquant le passage éminent au nouveau règlement. « L’Europe joue gros dans ce règlement », a-t-elle ensuite précisé. Pourquoi ? « Car elle doit faire la démonstration en 2018, non seulement que ses principes éthiques et généraux sont bons, mais aussi faire la preuve que le nouveau dispositif est efficient… qu’il va apporter aux acteurs économiques, privés ou publics, les garanties, la sécurité juridique qu’ils sont en droit d’attendre ». L’enjeu est donc conséquent, car : « Si nous réussissons ce pari, alors nous aurons potentiellement un standard mondial ».


Cela explique pourquoi, depuis plusieurs mois déjà la Commission propose aux organismes publics ou privés un accompagnement pour leur permettre de comprendre au mieux ce que change le nouveau règlement. « Nous avons mené un effort pédagogique sans précédent à destination des acteurs pour que ceux-ci s’emparent du texte nouveau européen et en exploitent toutes les potentialités », a ainsi déclaré Isabelle Falque-Pierrotin lors de cet événement.



Cette mission d’accompagnement va se poursuivre après le 25 mai avec, entre autres, l’élaboration de référentiels au niveau européen. « Un effort d’harmonisation très volontariste au niveau du G29 » a donc été mené, a précisé la présidente.


Quant aux contrôles opérés après cette date, ils auront essentiellement pour objectif, dans un premier temps, d’accompagner les organismes dans une courbe d’apprentissage vers une bonne compréhension et la mise en œuvre opérationnelle du règlement.


Rappelons tout d’abord que le RGPD modifie profondément les obligations pesant sur les organismes, publics ou privés, qui traitent des données. La loi repose sur une logique de responsabilisation des instances qu’ils soient responsables de traitements – donneurs d’ordres – ou sous-traitants. Il s’agit d’un enjeu majeur en termes de confiance des personnes et, par conséquent, de compétitivité pour les entreprises.


Cette notion de responsabilisation (accountability) se traduit par l’affirmation de deux principes : la prise en compte de la protection des données dès la conception du service ou du produit et par défaut (en anglais principes de privacy by design et by default). Les organismes qui traitent des données devront ainsi : se doter, le plus souvent, d’un délégué à la protection des données, véritable chef d’orchestre de la conformité en interne (le règlement devrait se traduire par la désignation d’un délégué à la protection des données dans 80 000 à 100 000 organismes au minimum. Les administrations devront obligatoirement en désigner un, et de nombreuses entreprises aussi; tenir un registre des traitements mis en œuvre facilitant ainsi l’information des personnes et l’éventuel contrôle de la CNIL ; mener des études d’impact sur la protection des données pour les traitements à risque ; notifier les failles de sécurité à la CNIL et, le cas échéant, aux personnes concernées.


Afin d’aider les entreprises établies en France, qu’elles soient nationales ou transnationales, la CNIL a mis en place un dispositif d’accompagnement avec des outils élaborés au niveau européen ou national, tels que : des modèles types de mentions d’information ou de formulaires de recueil du consentement (une des pierres angulaires du nouveau règlement) ; un nouveau modèle de registre simplifié ; une information sur les droits des personnes (il faut en effet que le public s’empare des nouveaux droits, notamment le nouveau droit à la portabilité) ; les dossiers thématiques à destination des professionnels du marketing et du commerce en ligne ; un guide élaboré en partenariat avec la BPI à destination des TPE-PME ; un plan d’accompagnement à destination des start-up :

À noter que la Commission a décidé d’optimiser ses efforts à destination de ces dernières, qui, dans l’univers du numérique économique du numérique, jouent un rôle de pionnières vis-à-vis du reste du marché, mais qui sont sans ressources propres à dédier aux questions de protection des données. « Les start-up, c’est le présent et le futur en même temps » a expliqué la présidente de la CNIL, « la start-up, elle, va très vite, et vis-à-vis de ces acteurs-là, la pédagogie du régulateur doit être un peu différente de celle que nous avons vis-à-vis d’autres acteurs ».


La CNIL est en effet convaincue que les start-up ont un rôle déterminant à jouer dans le succès de l’application du RGPD « par leur capacité à innover, proposer, inventer et mettre en œuvre avec souplesse et rapidité des solutions nouvelles et créatives répondant aux enjeux de conformité (privacy by design) » (cf. rapport de synthèse présentant les activités de la CNIL).


Le plan d’accompagnement de la Commission destiné aux start-up consiste donc à :


- mieux structurer des contenus et messages existants ;


- animer des ateliers réunissant des entrepreneurs intéressés ;


- être à l’écoute et tirer parti des qualités d’innovation des start-up au profit des recommandations de la CNIL et des outils de conformité, en particulier le privacy by design.


En outre, la modification de la loi « informatique et libertés » va offrir à la CNIL de nouveaux outils de régulation, dont des référentiels. Ces textes permettront à la CNIL de décliner, dans un secteur d’activité précis, les grands principes portés par le RGPD. La Commission prépare activement la rédaction de ces documents dont certains seront prêts dès le 25 mai. Ils s’appuieront, pour partie, sur la doctrine établie par la CNIL depuis de nombreuses années actualisée au regard des nouvelles exigences issues du RGPD. Ces référentiels seront portés au niveau européen pour que les entreprises installées en France puissent bénéficier d’un niveau d’exigence uniforme sur tout le territoire de l’Union.



Accompagner l’innovation


La Commission se félicite de la publication du rapport du député Villani sur l’intelligence artificielle publié en mars 2018, les recommandations contenues dans celui-ci vont dans le sens de celles ayant émergé du débat public, sur les nouvelles technologies, qu’elle a animé en 2017.


La CNIL entend aujourd’hui approfondir à l’échelle internationale le débat sur les principes de gouvernance éthique de l’intelligence artificielle. C’est pourquoi la Conférence internationale des commissaires à la protection de la vie privée et des données personnelles, qui se réunira à Bruxelles en octobre 2018, a choisi l’IA comme thème de travail.


La CNIL souhaite par ailleurs prolonger en 2018 les travaux qu’elle a déjà réalisés, notamment dans le cadre de son cahier IP consacré en 2017 à la « smart city », sur le cadre juridique du partage et de la mutualisation de données (portabilité citoyenne, plateformes de réutilisation des données, etc.) afin d’en faciliter la bonne appropriation par tous et le développement de projets de recherche en matière d’IA.


La CNIL entend également mener en 2018 des réflexions sur la blockchain ou le design de la protection des données.


 


La blockchain


Il s’agit d’une technologie reconnue par le droit français (ordonnance relative aux bons de caisse, réforme en cours sur les titres financiers dans la blockchain, etc.) et pour laquelle une mission parlementaire d’information a été ouverte.


 


Cependant, les caractéristiques de cette technologie posent des questions réelles, notamment sur une présumée « incompatibilité » avec le RGPD, et la CNIL souhaite « proposer des solutions et des lignes directrices concrètes et lisibles pour les acteurs qui souhaiteraient l’utiliser dans le contexte d’un traitement de données personnelles. » (cf. rapport de synthèse présentant les activités de la CNIL)


 


Le design de la protection des données


La CNIL a entamé depuis plusieurs mois des travaux en lien avec des communautés actives sur les enjeux éthiques du design qu’elle poursuivra en 2018. L’objet de cette exploration est de comprendre comment il est possible d’innover par le design. Il s’agira de s’interroger sur le rôle du design pour aider les utilisateurs à garder le contrôle et sur le rôle du designer pour accompagner l’utilisateur dans cette démarche.


 


Pour ces raisons, les intersections des différents champs disciplinaires design, sciences cognitives et comportementales sont des espaces que la CNIL va investiguer en 2018 dans le cadre de ses activités d’innovation et de prospective pour mieux comprendre comment se forment les décisions au plus proche des individus.


 


 


Maria-Angélica Bailly


 


 


0 commentaire
4 + 3 =

Journal Spécial des Sociétés - 8 rue Saint Augustin - 75002 Paris - Tél 01 47 03 10 10