Alors que l’année 2018 sera marquée par l’entrée en application du règlement général sur la protection des données personnelles, la CNIL dresse aujourd’hui son bilan d’activité pour 2017. Une année où les plaintes ont atteint un niveau record.
L’an passé, l’autorité, fière de ses 40 ans, a enregistré 8 360 plaintes (contre 7 703 en 2016 et 7 908 en 2015). C’est la première fois que la barre des 8 000 plaintes est franchie.
Dans le détail exposé au fil du rapport annuel de la CNIL, ce sont les secteurs de l’Internet et de la téléphonie qui remportent la palme avec 27 % des dossiers reçus. Remarquons d’ailleurs que l’institution a enregistré 335 demandes de déréférencement, suite à l’extension du « droit à l’oubli » (qui est plus exactement un droit à l’effacement) dans les moteurs de recherche.
Droit à l’oubli, droit d’accès indirect
« Le moteur de recherche peut refuser de donner une suite favorable à ces demandes s’il considère que l’intérêt des internautes à disposer de cette information est prépondérant. Il est possible de contester le refus du moteur de recherche auprès de la CNIL » rappelle le rapport. C’est justement un tel bras de fer qui est actuellement ausculté par la Cour de justice de l’Union européenne. Contrairement à Google, la commission estime que le droit à l’effacement doit s’étendre au-delà des frontières européennes, même sur le .com.
Dans le flot des données révélées par le document, remarquons que 4 039 personnes ont exercé leur droit d’accès indirect à sa porte. Pour mémoire, « les personnes qui souhaitent vérifier les données les concernant susceptibles d’être enregistrées dans les fichiers intéressant la sûreté de l’État, la défense et la sécurité publique (fichiers de renseignement, Système d’Information Schengen, etc.) ou qui ont pour mission de prévenir, rechercher ou constater des infractions (traitement d’antécédents judiciaires....) peuvent en effectuer la demande par écrit auprès de la CNIL ».
C’est un léger recul par rapport à l’année 2016, qui s’explique en partie par l’essoufflement des mesures prises lors des derniers mois de l’application de l’état d’urgence en France. C’est finalement le traitement des antécédents judiciaires (TAJ) qui concentre le plus d’attention avec 59 % des vérifications de fichiers faites l’an passé.
Dans 17 % des cas, les fiches examinées ont été supprimées à la demande de la CNIL. Pour 18 %, elles ont été mises à jour en raison d’une décision judiciaire favorable qui avait été oubliée par le traitement (acquittement, relaxe, non-lieu, classement sans suite). Cette démarche a ainsi pour conséquence de rendre « les personnes « inconnues » de ce fichier dans le cadre d’une consultation administrative (enquêtes pour l’obtention d’un agrément ou d’une habilitation pour l’exercice d’un emploi par exemple) ».
341 contrôles en 2017
Si l’on quitte le périmètre de la protection pour celui du contrôle, la CNIL a réalisé 341 contrôles en 2017, essentiellement portés sur le secteur privé (73 % contre 27 % pour le public). Un vrai fourre-tout qui va des fichiers du renseignement aux jouets connectés en passant par les smart TV ou les sociétés d’assurance, mais qui lui permettra roder le rôle attendu de l’autorité après l’application du RGPD le 25 mai.
Reposant sur une logique de responsabilité des acteurs, le règlement impliquera une intervention nettement plus proactive de la commission afin de déterminer si les principes inscrits dans le texte européen, dont celui du privacy by design, ont bien été respectés.
Les chiffres 2018 devraient théoriquement être plus ambitieux encore puisque le texte à venir autorisera les enquêteurs de la CNIL à mener leur mission dans toute l’Union européenne afin d’accéder aux locaux des responsables de traitement. Avec l’avènement d’une autorité cheffe de file, la coopération entre les CNIL européennes sera nettement renforcée pour aiguiser plus encore ces démarches.
79 mises en demeure, 9 sanctions pécuniaires, 5 avertissements
Après ce déluge de chiffres, la CNIL a infligé durant l’année écoulée 79 mises en demeure. Seules 6 ont été rendues publiques. Elle a infligé 9 sanctions pécuniaires (6 publiques) et 5 avertissements (dont 2 publics). Elle rappelle par exemple ces 150 000 euros infligés à Facebook Inc et Irlande pour une combinaison bien trop sauvage des données personnelles des internautes à des fins de profilage publicitaire. Les deux sociétés ont attaqué cette décision devant le Conseil d’État. La procédure est toujours en cours.
D’autres dossiers ont connu des fins plus heureuses, comme celui relatif à l’appétit de Windows 10 en matière de données personnelles. Microsoft a mis à jour ses conditions, par exemple en réduisant « de moitié le volume des données collectées dans le niveau de « base » de son service de télémétrie ». De ce fait, « elle a limité cette collecte aux données strictement nécessaires pour maintenir le système et les applications en bon état de fonctionnement et assurer leur sécurité », tout en accentuant l’information des utilisateurs.
