En 2015, le nombre de plaintes déposées à la CNIL a explosé avec 36 % de plus. Les motifs de griefs sont nombreux, mais Internet et la téléphonie occupent une place très importante. La commission des libertés a également effectué plus de contrôle et a été largement sollicitée en 2015, notamment avec les dispositifs qui découlent de l'État d'urgence.
Ce matin, la CNIL organisait une conférence de presse afin de présenter son rapport sur l'année 2015. L'occasion pour la Commission nationale de l'informatique et des libertés de faire le point et de présenter ses axes de développement pour la suite.
Avant d'entrer dans le vif du sujet, Isabelle Falque-Pierrotin, présidente de la CNIL, annonce que « le contexte de cette année 2015 est le "choc" ». Les événements étaient en effet très nombreux : les attentats, la gestion et les fuites de données personnelles, l'actualité internationale avec les projets européens, l'invalidation du Safe Harbor, etc.
Plus d'appels, moins de courriers et beaucoup plus de plaintes
Au cours de l'année dernière, la CNIL a ainsi reçu 34 367 courriers et 136 241 appels téléphoniques. Par rapport à 2013, les chiffres sont en baisse dans le premier cas, mais en légère hausse pour le second (37 120 courriers et 133 213 appels téléphoniques respectivement).
7 908 plaintes lui ont été adressées, soit largement plus que les années précédentes : 5 802 en 2014, 5 638 en 2013 et 6017 en 2012, 5 738 en 2011, 4 821 en 2010. Dans 36 % des cas, cela concerne Internet et la téléphonie, un taux en baisse de trois points par rapport à 2014, mais qui reste toujours en tête du classement, suivi par le commerce à 26 %. À eux deux, ils représentent tout de même 62 % des plaintes :
Pour le reste, il est question des ressources humaines (16 %), ce qui comprend la vidéosurveillance (excessive ou sans assez d'information), le secteur bancaire (10 %) et les libertés publiques (5 %). Dans le lot, il est intéressant de noter que les cartes bancaires sans contact (NFC) préoccupent les utilisateurs. « Les clients ne sont pas informés de manière satisfaisante de la mise en place de ce dispositif et ont du mal à faire désactiver la fonction sans contact activée par défaut » note la CNIL. Elle s'est d'ailleurs rapprochée des établissements bancaires qui ont depuis amélioré l'information aux clients précise-t-elle.
La gardienne des libertés indique que cette forte hausse des plaintes (36 %, 2 000 de plus qu'en 2014) « s'explique en grande partie par l'amélioration du service de plaintes en ligne qui permet désormais de saisir la CNIL sur un plus grand nombre de sujets ». Elle ajoute que « cette évolution témoigne de la volonté des citoyens de reprendre leurs droits en main au bénéfice de plus de transparence et de sécurité, notamment dans la gestion de leur e-réputation ».
Dans tous les cas, la présidente de la CNIL parle d'un « vif succès » pour son nouveau site mis en place l'année dernière et accessible par ici :
Le droit au déréférencement et les nouvelles tendances
Dans le lot, 450 plaintes font suite à des refus de demandes de déréférencement auprès des moteurs de recherches (plus de 700 depuis juin 2014). Dans 30 % des cas, la commission est intervenue auprès des moteurs afin de demander un déréférencement. Près de trois fois sur quatre, cela a été suivi « d’effets » ; les autres dossiers sont toujours en cours de traitement.
« La médiatisation d’affaires touchant à la sécurité des données tend aussi à sensibiliser les citoyens à cette problématique croissante » explique la CNIL. Le principal motif de plainte concerne l’opposition à figurer dans un fichier, tous secteurs confondus, et l’exercice du droit d’accès.
En brassant les plaintes reçues l'année dernière, la CNIL dégage de nouvelles tendances. En voici deux exemples : « la géolocalisation des salariés non plus via leur véhicule, mais via des bracelets connectés ou leur smartphone, de nouvelles techniques de vidéosurveillance des salariés via une application sur smartphones ou une webcam. Des municipalités invitent leurs administrés à leur envoyer des photos ou du son pour signaler des incivilités (déjections canines, stationnement abusif, tapage nocturne, dépôt d’ordure, affichage sauvage, etc) ».
Les contrôles en hausses, les sanctions largement en baisse
En 2015, la commission a effectué 501 contrôles dont 155 en ligne et 87 sur la vidéoprotection, qui ont abouti à 93 mises en demeure (dont 28 pour des contrôles effectués en ligne). Dans ce dernier lot, 40 concernent la réglementation sur les cookies.
Néanmoins, seules 10 sanctions ont été prononcées avec 7 avertissements et 3 amendes. Certaines ont été rendues publiques, mais pas toutes (la liste est disponible à la fin de ce rapport). Malgré des contrôles plus nombreux qu'en 2014 (421), les sanctions sont donc largement en baisse (18 l'année dernière).
Concernant le cas particulier des éditeurs de presse, la CNIL ne semble pas encore avoir complètement arrêté sa position pour le moment et les discussions sont toujours en cours. Des recommandations sur le sujet arriveront dans les prochains mois, probablement durant l'été.
La question de la presse en ligne sera peut-être rattachée à un écosystème plus large, englobant notamment les régies publicitaires. La CNIL précise qu'elle discute déjà avec ces dernières. Si des sanctions devaient être prononcées, ce ne sera probablement pas avant septembre. Néanmoins rien n'est encore acté, dans un sens ou dans l'autre.
La CNIL largement sollicitée, notamment avec l'état d'urgence
De manière générale sur l'année 2015, la CNIL a prononcé 2 571 décisions et délibérations et participé à 250 interventions dans des salons, colloques et autres conférences.
La gardienne des libertés d'ailleurs revient ensuite sur un sujet brûlant depuis plusieurs mois : le renseignement et la lutte contre le terrorisme. Elle s'est ainsi prononcée sur 14 projets de dispositions législatives ou réglementaires en rapport avec ce sujet. Elle doit d'ailleurs rendre son rapport sur le blocage administratif de sites vendredi prochain.
Mais ce n'est pas tout : elle a été consultée 122 fois sur des projets de loi et de décret, et on lui a adressé 155 demandes de droits d'accès indirect liées au contexte de l'État d'urgence. Toujours sur le même sujet, Isabelle Falque-Pierrotin explique qu'elle regrette que les nouvelles collectes de données se fassent sans contrôle en amont de la CNIL, seulement en aval. « C'est une erreur » estime-t-elle, pour qui « ce n'est pas parce que les impératifs de sécurité se renforcent qu'il faut abandonner les libertés ».
En tout, 5 890 demandes de droits d'accès indirects (fichiers de police, de gendarmerie, de renseignement, FICOBA, etc.) ont été enregistrées, soit une hausse de 12 % tout de même.
Au final, la CNIL voit augmenter très sensiblement le nombre de plaintes, intensifie ses contrôles et doit faire face à des demandes toujours plus nombreuses de la part des institutions, notamment suite à l'État d'urgence. « En cinq ans, tous les ratios ont crû de 50 % à 70 % » constate Isabelle Falque-Pierrotin. Il faudra maintenant voir si elle aura les moyens humains et financiers d'assurer son rôle dans de bonnes conditions si les choses continuent d'évoluer dans ce sens.
La souveraineté numérique en question
Autre sujet d'importance, la souveraineté numérique, qui est devenu un sujet d'inquiétude pour certains observateurs. « On a pu dire que la France et l'Europe ont perdu leur souveraineté numérique » explique la patronne de la CNIL. Pour elle, pourtant, la souveraineté signifie surtout garantir que les entreprises étrangères se plient aux lois locales. Une demande que certains groupes, comme Google, ont du mal à accepter. « Google aimerait que le droit américain s'applique partout » a ainsi affirmé la commission, en revenant sur l'enquête qui a touché les conditions d'utilisation du géant de Mountain View.
La situation doit être largement améliorée avec le futur règlement européen sur la vie privée, en discussion depuis quatre ans. « On a appris hier que le texte français était prêt » note d'ailleurs Isabelle Falque-Pierrotin. Avec un vote espéré en mai, cette directive devrait devenir un règlement et s'appliquer en mai 2018. Ce règlement « sera absolument déterminant pour récupérer une part de la souveraineté numérique française et européenne » estime le gendarme de la vie privée.
Le rejet du Safe Harbor, le cadre précédent pour le transfert outre-Atlantique de données des Européens est d'ailleurs vu (très) positivement par la commission, qui affirme espérer que le futur Privacy Shield saura combler ses lacunes. Une volonté qui n'est pas encore évidente, tant le texte a du mal à passer devant les eurodéputés, qui ne l'estiment pas assez contraignant juridiquement.
Voitures connectées, open data et chiffrement
Lancés il y a maintenant deux ans, les packs de conformité de la CNIL vont s'étendre à de nouveaux domaines. Il s'agit pour rappel d'un guide des « bonnes pratiques » qui présente les obligations légales et qui permet de simplifier les formalités administratives. En 2016, deux nouveaux packs seront dédiés à « l’open data pour le secteur public et aux véhicules connectés, dans le droit fil des réflexions engagées dès 2014 ».
Ce n'est pas la seule nouveauté qui arrivera prochainement puisqu'il est également question du Laboratoire d'innovation numérique de la CNIL, baptisé... LINC. Pour le moment assez peu d'informations ont filtré si ce n'est qu'il est question de « donner des éclairages vie privée sur les enjeux et actualité numérique ». Il faudra probablement attendre l'ouverture du site pour en savoir davantage.
Lors de la conférence de presse, Isabelle Falque-Pierrotin annonce que l'institution a pris une position publique, claire, en ce qui concerne la sécurité des données. Dans son rapport, la commission explique en effet qu'elle est pour le chiffrement et contre les backdoors : « Les solutions de chiffrement robustes, sous la maîtrise complète de l’utilisateur, contribuent à l’équilibre et à la sécurité de l’écosystème numérique. L’introduction de portes dérobées ou de clés maîtres conduirait à affaiblir la sécurité des solutions techniques aujourd’hui déployées, ce qui serait préjudiciable au patrimoine informationnel des entreprises, à la stabilité de l’écosystème de l’économie du numérique et à la protection des libertés des personnes ».
Concernant la vie privée au sens large, Isabelle Falque-Pierrotin compte « garder un pilotage ferme [...] Ce n'est pas parce que les impératifs de sécurité se renforcent qu'il faut abandonner les libertés » clame-t-elle.
Les autres enjeux de 2016
Parmi les enjeux de 2016, la CNIL explique qu'elle devra plancher sur le règlement européen adopté en décembre 2015 et qui devrait être voté avant l'été 2016 pour ensuite être appliqué début 2018. Pour rappel, « il s’agit de passer d’un cadre national à un cadre prioritairement européen ». La CNIL devra donc adapter l'ensemble de ses dispositifs d'ici là, ce qui demandera évidemment un travail important.
Toujours en 2016, il est question de continuer à « accompagner et faciliter la transition numérique des acteurs privés comme publics », notamment avec la loi pour une République numérique qui donne de nouvelles missions à la CNIL.
Commentaires (3)
#1
C’est sûr que leur charge de boulot doit augmenter dernièrement, en espérant que les effectifs suivent…
#2
Un service de l’etat qui essaie de bien faire son boulot.
Et au moins défendre l’intérêt public et non pas celui du privée…
#3