Selon un sondage IFOP réalisé en octobre 2019, 68 % des Français se disent plus sensibles à la question de la protection de leurs données personnelles. Dans son quarantième rapport d’activité, la CNIL revient sur les temps forts de 2019 et les grands enjeux à venir.
Protection des citoyens
En 2019, le site de la CNIL a reçu plus de 8 millions de visites, 145 913 appels et 17 302 requêtes par voie électronique.
Les plaintes. 14 137 plaintes ont été déposées (+ 27 % par rapport à 2018 ; + 79 % en 5 ans).
Près d'un tiers porte sur la publication de données personnelles (identité, photographies, vidéos, etc.) sur Internet.
422 plaintes ont trait au déréférencement (+ 13 %) ; la CNIL a obtenu la résolution des situations dans 98 % des cas transmis aux moteurs de recherche.
Près d’une centaine concerne des demandes d’effacement de contenus concernant des articles de presse publiés en ligne (retrait de l’article, anonymisation, désindexation).
10,7 % des plaintes sont liées à la surveillance des employés sur leur lieu ou pendant leur temps de travail, par des outils tels que vidéosurveillance, géolocalisation, écoutes téléphoniques, etc.
Les raisons pour lesquelles les personnes saisissent la CNIL. Le droit à la tranquillité et la prise en compte de ses droits sont les deux principales raisons évoquées. Le nombre de plaintes relatives à la réception de prospection est particulièrement important (14,7 %). Les publicités par courrier électronique et par SMS génèrent le plus de plaintes.
L’exercice de ses droits auprès de son employeur, tant dans le secteur privé que public, génère un nombre élevé de plaintes (près de 400). La CNIL est également saisie pour des difficultés d’accès à des dossiers personnels (dossier médical, dossier CAF, Pôle emploi, etc.).
Le nombre de plaintes reçues en 2019 a augmenté de 42 % sur l’accès au dossier médical. Enfin, en 2019, la CNIL a reçu plus de 400 plaintes concernant l’inscription de personnes dans les fichiers d’incidents de la Banque de France, notamment le fichier d’incidents de remboursement des crédits aux particuliers (FICP) et le fichier central des chèques (FCC).
La sécurité des données. Les défauts de sécurisation des données sont désormais un motif récurrent de plainte auprès de la CNIL, qu'il s'agisse des données accessibles sur Internet ou communiquées à des tiers, de mots de passe transmis en clair ou non suffisamment complexes, etc. Ces questions sont de plus en plus importantes (+ 100 %) dans le secteur médico-social.
Accompagnement des professionnels
De nombreux outils sont proposés aux professionnels depuis 2019 pour les guider dans l’appropriation de la nouvelle règlementation :
un cours en ligne ouvert à tous (MOOC) « Atelier RGPD », qui reprend les éléments de base à comprendre pour les délégués à la protection des données ou toute personne qui serait intéressée par le sujet. Plus de 62 000 comptes ont été créés et 15 000 attestations de suivi ont été délivrées ;
un nouveau modèle de registre, publié au cours de l’été, dans un format ouvert, utilisable sur la plupart des tableurs ;
la publication de nombreux contenus pédagogiques sur le site cnil.fr et notamment de plusieurs guides (pour les collectivités locales, pour les organismes souhaitant mettre en place de l’open data, pour les développeurs).
La CNIL a également renforcé sa doctrine en 2019. La liste des opérations de traitement nécessitant une analyse d’impact relative à la protection des données a été complétée par une liste des traitements pour lesquels, au contraire, une analyse n’est pas requise.
Travaux avec les autres autorités de protection des données
La coopération entre autorités européennes continue à se développer. 79 décisions finales ont été adoptées dans le cadre européen en 2019. 596 dossiers de coopération concernaient des plaintes et la CNIL était « chef de file » sur 54 cas.
Quatre lignes directrices européennes, qui clarifient comment appliquer le RGPD, ont aussi été adoptées sur des sujets structurants tels que le champ d’application territorial, les codes de conduite, la base légale « contrat » pour la fourniture de services en ligne, ou encore les dispositifs vidéo.
Deux consultations publiques ont également été amorcées, l’une portant sur la protection des données dès la conception et par défaut (data protection by design and by default), l’autre, sur les critères du droit à l’oubli dans les moteurs de recherche.
Sur la scène internationale, les autorités réunies au sein du Comité européen de la protection des données ont aussi émis un avis favorable sur le premier outil de transferts de données entre autorités publiques dans le domaine des services financiers, participé à l’évaluation annuelle du cadre juridique de transferts de données commerciales entre l’Union européenne et les États-Unis (Bouclier de protection des données) et à leur première audience devant la Cour de Justice de l’Union européenne en tant qu’experts tiers au contentieux.
Conseil aux pouvoirs publics et au Parlement
En 2019, la CNIL a participé à plus de 30 auditions parlementaires. Elle a également adopté des avis sur plusieurs projets de loi, notamment celui sur la bioéthique, celui sur l’organisation du système de santé ou encore le projet de loi de finances s’agissant de l’utilisation des réseaux sociaux par l’administration fiscale.
Par ailleurs, du fait de l’actualité particulièrement riche dans le domaine de la reconnaissance faciale, la CNIL a contribué au débat en présentant, le 15 novembre 2019, les éléments techniques, juridiques et éthiques qui doivent être pris en compte sur ce sujet qui soulève des questions inédites touchant à des choix de société.
Contrôles et sanctions
Pour faire écho à l’allègement des formalités et au principe de responsabilité des organismes, la CNIL s’investit pleinement dans les actions répressives, qui ont pris une nouvelle ampleur avec le RGPD. Pour ce faire, elle dispose d’une chaîne répressive complète lui permettant de recevoir des signalements par des canaux divers, de réaliser des contrôles dont le nombre est stable par rapport à 2018 et dont les suites peuvent aller de la clôture à la mise en demeure ou à la sanction financière. Dans certains cas, une publicité peut être décidée en fonction de la gravité des manquements.
Les contrôles. La CNIL a procédé à 300 contrôles dont 169 sur place, 53 en ligne, 45 sur pièce et 18 auditions. Dans 41 % des cas, ces contrôles font suite à des plaintes ou des réclamations.
La CNIL a également traité 80 signalements à la suite de signalements de violations de données personnelles.
Les sanctions. La formation restreinte de la CNIL peut prononcer des sanctions à l'égard des responsables de traitements. Avec le RGPD, le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.
8 sanctions ont été prononcées en 2019, dont 7 amendes d’un montant total de 51 370 000 € et 5 injonctions sous astreinte. Les sanctions concernaient des atteintes à la sécurité des données personnelles, des manquements à l’obligation d’information des personnes, des manquements liés aux durées de conservations des données et le non-respect du droit d’accès prévu par le RGPD.
Les mises en demeure. Cette procédure peut intervenir après une plainte ou un contrôle et est décidée par la présidente de la CNIL. Il ne s’agit pas d’une sanction. 42 mises en demeure ont été prononcées en 2019, dont 2 publiques, ainsi que 2 rappels à l’ordre et 2 avertissements.
La moitié des mises en demeure a porté sur le droit au déréférencement, droit d’opposition ou droit d’accès.
Les enjeux pour 2020
Une recommandation sur les cookies et autres traceurs. L’utilisation des cookies et autres traceurs par les opérateurs comme outil de ciblage publicitaire est une thématique de travail centrale pour la CNIL.
La CNIL a proposé un plan d’action le 28 juin 2019 qui se poursuit en 2020 et a deux objectifs : construire une réponse aux plaintes individuelles et collectives et aider les professionnels du secteur marketing à mieux comprendre les obligations du RGPD.
Après la publication de lignes directrices le 18 juillet 2019 et à la suite d'une consultation publique, la CNIL publiera une recommandation proposant des modalités opérationnelles de recueil du consentement.
Covid-19 : mobilisation face à la pandémie. Dans le contexte de la crise sanitaire, la CNIL a réorganisé son fonctionnement interne afin d'instruire au mieux les dossiers dont elle est chargée et de répondre aux questions des Français.
Elle a ainsi publié de nombreux contenus, à destination des professionnels mais également des particuliers, sur le télétravail, la continuité des activités, la recherche ou encore les données qui peuvent être traitées par les employeurs.
Elle s’est mobilisée pour instruire en priorité, dans des délais extrêmement courts, les demandes d’autorisation de projets de recherche portant sur le Covid-19, lorsque les traitements envisagés ne sont pas conformes aux méthodologies de référence déjà adoptées.
En outre, elle a été saisie en urgence par le gouvernement, dans le cadre de la mise en place de la stratégie de déconfinement, notamment d’avis sur les fichiers SI-DEP et Contact Covid et sur l’application mobile StopCovid. Après s’être prononcée sur les projets de décrets, la CNIL va désormais procéder à une série de contrôles de ces outils.
(CNIL, act. 9 juin 2020)
