Isabelle Falque-Pierrotin, la présidente de la CNIL, a présenté
en avril dernier le bilan de l’activité 2017 de la Commission ainsi que
les enjeux pour l’année en cours. 2017 s’est caractérisée par une préparation
active de la transition vers le règlement général sur la protection des données
(RGPD), qui entre en vigueur le 25 mai 2018. Tout en répondant aux
multiples demandes des organismes privés et publics dans ce domaine, la CNIL a
dû également poursuivre ses autres activités et traiter un nombre record de
plaintes et demandes d’information.
La CNIL au service des
citoyens
« Cette
année, il me paraissait important d’apporter un éclairage un peu précis sur ce
que la CNIL fait pour le grand public », a commencé la présidente de
la Commission. Et Xavier Delporte, en charge de cette partie de la
présentation, d’expliquer : « la
CNIL ne s’intéresse pas qu’aux professionnels, mais aussi à nos
concitoyens dans l’idée de les aider à mieux maîtriser le sort qui est
réservé à leurs données personnelles ».
D’abord,
grâce au site internet de la CNIL qui a reçu en 2017, 1,8 million de
visites supplémentaire, soit 4,4 millions de visites au total. Le service
d’aide en ligne « Besoin d’aide » a reçu 14 701 demandes
(+21 % par rapport à 2016). Pour rappel, la CNIL propose sur son site de
nombreuses fiches pratiques et conseils à destination des particuliers :
les conseils pour un bon mot de passe (article le plus lu), jouets connectés,
utilisation d’un WIFI public… La Commission propose aussi à destination des plus jeunes des vidéos, « dans
un style un peu moins institutionnel », a expliqué
Monsieur Delporte « car la
maîtrise de ses données commence dès le plus jeune âge ». Ainsi, la
vidéo « Protéger sa vie
privée en 6 étapes » réalisée par Le Rire Jaune, en partenariat
avec la MGEN a atteint plus de quatre millions de vues sur YouTube.
En
ce qui concerne les plaintes, la Commission en a reçu pas moins de 8 360,
un record. 27 % d’entre elles concernent la diffusion de données
personnelles sur Internet (sites, blogs, réseaux sociaux…) et notamment leur
suppression ou leur rectification, indique le document de présentation du
rapport d’activité 2017 de la CNIL. Afin de sensibiliser les individus à
la protection de leurs données, la CNIL diffuse de nombreux conseils pratiques
à leur attention : réglage des paramètres de confidentialité, recours à
des pseudonymes, fermetures des comptes non actifs… La Commission a ainsi reçu
335 demandes de référencement à la suite du refus de la part des moteurs de
recherche. 25 % de ces plaintes concernent le secteur marketing/commerce
et surtout la prospection par courriel, téléphone ou courrier. Pour agir plus
efficacement contre les spams, la CNIL a modifié l’an passé ses méthodes d’instruction
et renforcé sa collaboration avec l’association Signal spam. Cette dernière « centralise les
signalements », afin que la CNIL puisse mieux identifier derrière les
auteurs de spams, ont expliqué les intervenants de ce jour.
Parmi
ces plaintes, 16 % concernent les ressources humaines (géolocalisation,
vidéosurveillance excessive…), 12 % la banque et le crédit, et 8 % le
secteur santé et social (difficulté à accéder à son dossier médical, Pôle
emploi…). Ces diverses réclamations ont permis à la CNIL d’identifier des
tendances émergentes comme : les objets connectés ; les dispositifs
de lecture automatisée de plaque d’immatriculation, en lien avec la
dépénalisation du stationnant payant ; l’accès aux messageries
professionnelles des salariés absents ou ayant quitté l’entreprise ; la
réutilisation par des sites internet des données des autoentrepreneurs publiées
sur les annuaires professionnels, etc.
Concernant
les demandes de droit d’accès indirect, la CNIL note un léger infléchissement
du nombre de demandes, mais des vérifications en hausse. Elle a ainsi reçu
4 039 demandes qui ont donné lieu à plus de
8 000 vérifications. 49 % de ces demandes reçues ont porté sur
le fichier TAJ des antécédents judiciaires de la police et de la
gendarmerie, les autres sur le fichier FICOBA de l’administration fiscale,
et les fichiers de renseignements.
La CNIL au service des pouvoirs publics
Dans
un rapport de synthèse du rapport d’activité de la Commission, l’organisme
indique avoir rendu 4 124 décisions et délibérations dont
177 avis portant notamment sur différents champs d’activité, tels que le
prélèvement à la source de l’impôt sur le revenu, la santé, la régulation du
numérique (la CNIL a ainsi rendu un avis sur le projet de loi relatif à la
protection des données personnelles), la sécurité (même si la CNIL n’a pas été
saisie du projet de loi renforçant la sécurité intérieure et la lutte contre le
terrorisme, elle a néanmoins choisi d’examiner ce texte en formation plénière).
L’activité répressive
de la CNIL
Le
rôle de la Commission n’est pas seulement de protéger ou d’informer, elle a également le
pouvoir de contrôler et de sanctionner si elle constate des manquements à la
loi, ou sinon d’anticiper ces manquements. « La CNIL avance sur ses
deux jambes, l’accompagnement d’une part, mais aussi l’activité répressive »,
a ainsi précisé Isabelle Falque-Pierrotin.
Ainsi,
en 2017 la CNIL a réalisé 341 contrôles dont 256 contrôles sur place,
65 contrôles en ligne, 20 contrôles sur pièces et sur convocation.
Ceux-ci
ont concerné les domaines suivants : la sécurité des données, elle a ainsi
mis fin à près de 80 violations de données (5 ont donné lieu à des sanctions
pécuniaires) ; les défenses des droits des personnes (environ 15 %
des mises en demeure de la Commission ont concerné la non-prise en compte des
droits de rectification ou d’opposition des plaignants) ; la coopération
avec les homologues européens sur des acteurs internationaux - la CNIL a ainsi
rendu une sanction pécuniaire à l’encontre de Facebook concernant l’absence de
base légale à la combinaison massive de données et l’utilisation de dispositifs
de traçage déloyaux.
Des
contrôles ont également été réalisés dans le cadre du programme annuel sur la
confidentialité des données de santé traitées par les sociétés d’assurance, les
fichiers de renseignement (les constats ont porté avant tout sur la doctrine
d’utilisation des fichiers, la pertinence des données enregistrées…), les
télévisions connectées.
En
ce qui concerne plus particulièrement les sanctions, il faut d’abord rappeler
que l’objectif de la CNIL vise avant tout la conformité des organismes mis en
cause. Ainsi, à chaque phase d’instruction d’une plainte ou d’un contrôle,
avant que tombe la sanction, les intéressés ont la possibilité de suivre les
mesures de recommandations de la CNIL, et dans l’immense majorité des cas, la
simple intervention de la CNIL suffit.
En
2017, 79 mises en demeure ont été adoptées notamment sur des jouets connectés,
Admission Post-Bac, la transmission des données de WhatsApp à Facebook. En
outre, 14 sanctions ont été prononcées, dont 9 sanctions pécuniaires et 5
avertissements.
L’activité prospective
de la CNIL
Enfin, « nous
sommes attachés à ce qu’en même temps que nous régulons le présent nous
essayions de bien comprendre le futur », a expliqué la présidente de
la CNIL. Elle a de ce fait évoqué deux missions particulièrement
intéressantes menées par la CNIL l’an passé : celui de la plateforme
LINC (Laboratoire d’innovation numérique de la CNIL) sur la ville numérique,
ainsi que les travaux menés sur l’intelligence artificielle.
À propos de ces derniers, Isabelle Falque-Pierrotin a
déclaré : « on y propose les
conditions permettant à notre pays de faire une proposition d’intelligence
artificielle qui soit éthique, car respectant le droit des personnes ».
« Nous sommes convaincus qu’il y a
une possibilité pour la France et pour l’Europe de faire valoir cette approche
éthique, et de le faire valoir comme un argument de différentiation
concurrentielle sur le sujet, à l’heure où les Chinois, les Russes, les
Américains sont en train de dire qu’ils vont gagner la bataille de
l’intelligence artificielle », a-t-elle poursuivi.
Pour
rappel, dans ses travaux, la CNIL a réfléchi sur les questions éthiques et de
société posées par les nouvelles technologies, une mission dont elle avait été
chargée dans le cadre de la loi pour une République numérique. Le
15 décembre dernier, la Commission a publié le rapport de synthèse du
débat public ouvert et décentralisé qu’elle avait animé de janvier à
octobre 2017 et ayant impliqué soixante partenaires dans tout
l’Hexagone. Dans ce rapport, deux principes ont été proposés par la CNIL
et pourraient s’inscrire dans une nouvelle génération de garanties et droits
fondamentaux : un principe de loyauté des systèmes d’IA selon lequel tout
algorithme devrait être loyal envers des utilisateurs en tant que citoyens, et
envers des communautés ou grands intérêts collectifs ; un principe de
vigilance qui s’applique à l’ensemble des maillons de la chaîne qui consiste à
questionner régulièrement les usages et natures des objets technologiques. Dans
ce document, la CNIL indique également six recommandations, parmi
lesquelles : former à l’éthique tous les acteurs impliqués dans les
chaînes d’IA, rendre les systèmes plus compréhensibles, constituer une
plate-forme nationale d’audit des algorithmes, encourager la recherche sur l’IA
éthique…
Pour l’année en cours, la
CNIL s’est donnée pour missions : premièrement, d’accompagner les
professionnels dans leur transition vers le RGDP (Règlement général sur la
protection des données) jusqu’au 25 mai et après ; deuxièmement, de
poursuivre ses efforts d’accompagnement en faveur de l’innovation, initiés
depuis plusieurs années déjà.
Accompagner la
transition vers le RGPD
Le RGPD « est une énorme montagne »
a affirmé la présidente de la CNIL lors de la présentation du rapport
d’activité : « cela a occupé énormément de nos ressources en 2017,
et ceci alors que l’activité traditionnelle de la CNIL continue »
a-t-elle poursuivi. La Commission a en effet dû fournir d’immenses efforts
d’organisation et d’adaptation internes pour répondre à toutes les sollicitations
dont elle a été l’objet à ce sujet.
L’année dernière, la permanence de renseignement
juridique de la CNIL a reçu plus de 67 000 appels à ce sujet. À noter
que les professionnels peuvent s’appuyer sur de nombreux outils de préparation
et de mise en conformité au RGPD, disponibles sur le site de la
Commission : méthode en six étapes qui permet aux organismes de
mettre en œuvre l’essentiel des mesures pour être prêts le 25 mai
prochain, modèle de registre, adoption par le G29 (groupe des CNIL européennes)
de plusieurs lignes directrices qui assurent une compréhension commune des
points clés du RGPD au niveau européen, des foires aux questions permettant aux
professionnels de prendre connaissance rapidement des principales nouveautés
issues du RGPD, un formulaire de désignation du délégué à la protection des
données, etc.
Rappelons que dès 2012, la CNIL avait déjà anticipé le
règlement en développant des outils de conformité comme le correspondant
informatique et libertés (CIL), les packs de conformité qui permettent de
promouvoir de bonnes pratiques et de décliner de façon opérationnelle les
obligations, des labels…
« Le
25 mai, nous devons être prêts, quand je dis "nous" c’est le
régulateur et l’ensemble des acteurs concernés par ce règlement », a
rappelé la présidente de la CNIL évoquant le passage éminent au nouveau
règlement. « L’Europe joue gros dans
ce règlement », a-t-elle ensuite précisé. Pourquoi ? « Car elle doit faire la démonstration en
2018, non seulement que ses principes éthiques et généraux sont bons, mais
aussi faire la preuve que le nouveau dispositif est efficient… qu’il va
apporter aux acteurs économiques, privés ou publics, les garanties, la sécurité
juridique qu’ils sont en droit d’attendre ». L’enjeu est donc
conséquent, car : « Si nous
réussissons ce pari, alors nous aurons potentiellement un standard
mondial ».
Cela explique pourquoi,
depuis plusieurs mois déjà la Commission propose aux organismes publics ou
privés un accompagnement pour leur permettre de comprendre au mieux ce que
change le nouveau règlement. « Nous avons mené un effort
pédagogique sans précédent à destination des acteurs pour que ceux-ci
s’emparent du texte nouveau européen et en exploitent toutes les potentialités »,
a ainsi déclaré Isabelle Falque-Pierrotin lors de cet événement.
Cette mission
d’accompagnement va se poursuivre après le 25 mai avec, entre autres,
l’élaboration de référentiels au niveau européen. « Un
effort d’harmonisation très volontariste au niveau du G29 » a donc été
mené, a précisé la présidente.
Quant aux contrôles opérés
après cette date, ils auront essentiellement pour objectif, dans un
premier temps, d’accompagner les organismes dans une courbe
d’apprentissage vers une bonne compréhension et la mise en œuvre opérationnelle
du règlement.
Rappelons tout d’abord que
le RGPD modifie profondément les obligations pesant sur les organismes, publics
ou privés, qui traitent des données. La loi repose sur une logique de responsabilisation des
instances qu’ils soient responsables de traitements – donneurs d’ordres – ou
sous-traitants. Il s’agit
d’un enjeu majeur en termes de
confiance des personnes et, par conséquent, de compétitivité pour
les entreprises.
Cette
notion de responsabilisation (accountability) se traduit par l’affirmation
de deux principes : la prise en compte de la protection des données
dès la conception du service ou du produit et par défaut (en anglais principes
de privacy by design et by default). Les organismes
qui traitent des données devront ainsi : se doter, le plus souvent, d’un délégué à la protection des données, véritable
chef d’orchestre de la conformité en interne (le règlement devrait se
traduire par la désignation d’un délégué à la protection des données dans
80 000 à 100 000 organismes au minimum. Les administrations
devront obligatoirement en désigner un, et de nombreuses entreprises aussi) ; tenir
un registre des
traitements mis en œuvre facilitant ainsi l’information des personnes et
l’éventuel contrôle de la CNIL ; mener
des études d’impact sur la protection des données pour les traitements à
risque ; notifier les
failles de sécurité à la CNIL et, le cas échéant, aux personnes
concernées.
Afin d’aider les entreprises établies en France,
qu’elles soient nationales ou transnationales, la CNIL a mis en place un
dispositif d’accompagnement avec des outils élaborés au niveau européen ou
national, tels que : des modèles
types de mentions d’information ou de formulaires de recueil du
consentement (une des pierres angulaires du nouveau règlement) ; un
nouveau modèle de registre
simplifié ; une information sur les droits des personnes (il faut en effet que le public s’empare des
nouveaux droits, notamment le nouveau droit à la portabilité) ; les dossiers thématiques à destination des
professionnels du marketing et du commerce en ligne ; un guide
élaboré en partenariat avec la BPI à destination
des TPE-PME ; un plan
d’accompagnement à destination des start-up :
À noter que la Commission a décidé d’optimiser ses
efforts à destination de ces dernières, qui, dans l’univers du numérique
économique du numérique, jouent un rôle de pionnières vis-à-vis du reste du
marché, mais qui sont sans ressources propres à dédier aux questions de
protection des données. « Les
start-up, c’est le présent et le futur en même temps » a expliqué la
présidente de la CNIL, « la
start-up, elle, va très vite, et vis-à-vis de ces acteurs-là, la pédagogie du
régulateur doit être un peu différente de celle que nous avons vis-à-vis
d’autres acteurs ».
La CNIL est en effet convaincue que les start-up ont
un rôle déterminant à jouer dans le succès de l’application du RGPD « par leur capacité à innover, proposer,
inventer et mettre en œuvre avec souplesse et rapidité des solutions nouvelles
et créatives répondant aux enjeux de conformité (privacy by design) » (cf. rapport de synthèse présentant
les activités de la CNIL).
Le plan d’accompagnement de la Commission destiné aux
start-up consiste donc à :
- mieux
structurer des contenus et messages existants ;
- animer des
ateliers réunissant des entrepreneurs intéressés ;
- être à
l’écoute et tirer parti des qualités d’innovation des start-up au profit
des recommandations de la CNIL et des outils de conformité, en particulier le privacy
by design.
En outre, la modification de la loi
« informatique et libertés » va offrir à la CNIL de nouveaux outils
de régulation, dont des référentiels. Ces textes permettront à la CNIL de
décliner, dans un secteur d’activité précis, les grands principes portés par le
RGPD. La Commission prépare activement la rédaction de ces documents dont certains seront
prêts dès le 25 mai. Ils s’appuieront, pour partie, sur la doctrine
établie par la CNIL depuis de nombreuses années actualisée au regard des
nouvelles exigences issues du RGPD. Ces référentiels seront portés au niveau
européen pour que les entreprises installées en France puissent bénéficier d’un
niveau d’exigence uniforme sur tout le territoire de l’Union.
Accompagner
l’innovation
La Commission se félicite de
la publication du rapport du député Villani sur l’intelligence artificielle
publié en mars 2018, les recommandations contenues dans celui-ci vont dans
le sens de celles ayant émergé du débat public, sur les nouvelles technologies,
qu’elle a animé en 2017.
La CNIL entend aujourd’hui approfondir à l’échelle
internationale le débat sur les principes de gouvernance éthique de
l’intelligence artificielle. C’est pourquoi la Conférence internationale des
commissaires à la protection de la vie privée et des données personnelles, qui
se réunira à Bruxelles en octobre 2018, a choisi l’IA comme thème de
travail.
La CNIL souhaite par ailleurs prolonger en 2018 les
travaux qu’elle a déjà réalisés, notamment dans le cadre de son cahier IP
consacré en 2017 à la « smart city », sur le cadre juridique du
partage et de la mutualisation de données (portabilité citoyenne, plateformes
de réutilisation des données, etc.) afin d’en faciliter la bonne appropriation
par tous et le développement de projets de recherche en matière d’IA.
La CNIL entend également
mener en 2018 des réflexions sur la blockchain ou le design de la protection
des données.
La blockchain
Il s’agit d’une technologie reconnue par le droit français (ordonnance relative
aux bons de caisse, réforme en cours sur les titres financiers dans la
blockchain, etc.) et pour laquelle une mission parlementaire d’information a
été ouverte.
Cependant, les caractéristiques de cette technologie
posent des questions réelles, notamment sur une présumée « incompatibilité » avec le RGPD, et la CNIL
souhaite « proposer des solutions et des lignes directrices concrètes
et lisibles pour les acteurs qui souhaiteraient l’utiliser dans le
contexte d’un traitement de données personnelles. » (cf. rapport
de synthèse présentant les activités de la CNIL)
Le design de la
protection des données
La CNIL a entamé depuis plusieurs mois des travaux en
lien avec des communautés actives sur les enjeux éthiques du design qu’elle poursuivra
en 2018. L’objet de cette exploration est de comprendre comment il est possible
d’innover par le design. Il s’agira de s’interroger sur le rôle du design pour
aider les utilisateurs à garder le contrôle et sur le rôle du designer pour
accompagner l’utilisateur dans cette démarche.
Pour ces raisons, les intersections des différents
champs disciplinaires design, sciences cognitives et comportementales sont des
espaces que la CNIL va investiguer en 2018 dans le cadre de ses activités
d’innovation et de prospective pour mieux comprendre comment se forment les
décisions au plus proche des individus.
Maria-Angélica Bailly