La CNIL évoque son action passée et son futur

Comme tout le monde ou presque, la CNIL a vu son année 2020 très largement bouleversée par la crise sanitaire. Elle dresse le bilan de ses actions, entre urgences, accompagnement et répression. Elle dévoile aussi ses ambitions pour les années à venir pour « continuer à répondre efficacement aux demandes des citoyens ».

Dans son 41e rapport annuel d’activité, la Commission nationale de l'informatique et des libertés fait le bilan de l’année passée en ratissant large : « Impact de la crise sanitaire, nouvelles règles sur les cookies, cybersécurité et souveraineté numérique », tout y passe. 

Un peu moins de plaintes en 2020

Avant d’entrer dans les détails, la Commission plante le décor d’une année 2020 marquée « par un nombre de plaintes toujours élevé et une augmentation considérable des violations de données, trois ans après l’entrée en application du RGPD ». 121 439 appels ont été reçus et 20 452 requêtes par voie électronique (+ 18 % en un an).

Les visites sur ses sites (cnil.fr, linc.cnil.fr, educnum.fr…) étaient en hausse de 21 % l’année dernière et s’approchaient des 10 millions. Une enquête interne a été menée pour savoir ce que les visiteurs souhaitaient davantage trouver sur les sites : des outils et modèles de document ainsi que des conseils pratiques arrivent en tête, avec respectivement 30 et 29 % des retours. En tout, 13 585 plaintes ont été adressées à la gardienne des libertés individuelles (dont 95 % en ligne), « soit 62,5 % d’augmentation depuis la mise en œuvre du RGPD ».

Ce chiffre est par contre en petite baisse par rapport à 2019 où il y avait eu 14 137 plaintes. Pour la CNIL, cela confirme quoi qu’il en soit une « prise de conscience conséquente des Français vis-à-vis de leurs droits ».

Les plaintes 2020 portaient principalement sur « la diffusion de données sur internet (demande de suppression de contenus), la prospection commerciale (opposition à recevoir de la publicité), les dispositifs de surveillance au travail (vidéosurveillance avec accès à distance aux images, géolocalisation, etc.), l’inscription dans des fichiers de la Banque de France, ainsi que les difficultés rencontrées dans l’exercice du droit d’accès (information sur l’origine des données, etc.) ». 4 528 de 13 585 plaintes ont eu une réponse « rapide », tandis que les 9 057 autres « ont nécessité une étude plus approfondie ».

Toujours dans le registre de ses missions de conseil et de réglementation, la CNIL a participé à 20 auditions parlementaires, publié 139 délibérations, dont 96 avis sur les projets de texte. Elle en profite pour rappeler que son budget de fonctionnement est de 20,1 millions d’euros et qu’elle compte 225 employés. 

Notre dossier sur le bilan 2020 de la CNIL, son futur et ses prévision 2030 :

• La CNIL évoque son action passée et son futur
• Les (inquiétantes) prévisions de la CNIL pour la vie privée en 2030

49 mises en demeure, 14 sanctions, plus de 138 M€ d’amendes

247 contrôles ont été effectués, dont 82 en ligne. Suite à cela, 49 mises en demeure ont été adressées, dont 3 publiques et 4 adoptées avec d’autres CNIL européenne.

Concernant la lutte contre la pandémie, « 25 opérations de contrôles au total ont été menées » : 12 sur Contact Covid, 7 sur TousAntiCovid et StopCovid, 6 sur SI-DEP.  La mise en place de Stop/TousAntiCovid a d’ailleurs occupé une part non négligeable de son travail l’année dernière, et la situation se poursuit en 2021.

Dans le lot des procédures, 40 % « s’inscrivent dans le cadre de l’instruction de plaintes ou de signalements »,  32 % « sont effectués à l’initiative de la CNIL, notamment au vu de l’actualité », 15 % « résultent des thématiques prioritaires annuelles décidées par la CNIL », 10 % sont des contrôles mis en œuvre dans le cadre de la lutte contre la Covid-19 et les 3 % restant sont des suites de mises en demeure ou de procédures de sanction.

15 décisions – dont 14 sanctions – ont été adoptées par la formation restreinte de la CNIL en 2020. 11 ont débouché sur des amendes pour un montant total de 138 489 300 euros, une sur une injonction sous astreinte (sans amende), deux sur des rappels à l’ordre et enfin il y a donc eu un non-lieu.

Rien que sur les cookies, la gardienne a « prononcé des sanctions de respectivement 100 millions d’euros et de 35 millions d’euros à l’encontre de Google et d’Amazon, en raison de manquements ». Début 2021, elle s’est enfin réveillée en mettant en demeure une vingtaine d’organismes, dont des acteurs publics.

• Cookies : la CNIL inflige 35 millions d’euros d’amende à Amazon, 100 millions à Google

2 825 violations de données, près d’un quart de rançongiciels

Concernant la cybersécurité, la CNIL a reçu l’année dernière « 2 825 notifications de violation de données personnelles soit 24 % de plus qu’en 2019 ». En moyenne, « plus de 11 notifications ont été reçues par jour ouvré et plus de 265 notifications sont reçues par mois ». Il faut dire que les affaires de fuites de données abondent dans l'actualité.

Dans plus de 500 cas (des 2 825 notifications), l’origine était une attaque par rançongiciel. Comme l’ANSSI récemment, la gardienne des libertés « a pu constater l’augmentation en 2020 et notoirement en 2021 pour des établissements de santé ». Elle restera donc attentive à cette situation cette année encore (au minimum).

• Cybersécurité : l’année 2020 vue par l’ANSSI, avec deux fois plus d’« incidents »

Sans aucune surprise, on retrouve aussi une forte présence du piratage informatique, « qui représente 47 % du total des notifications adressées à la CNIL, soit 1 315 notifications (+ 70 % par rapport à 2019) ». La cybersécurité se retrouve même majoritairement dans les sanctions, dont 2/3 « visent des manquements à l’obligation de sécurité des données et plus de 40 % des sanctions sont prises sur ce seul fondement ».

Le domino des sous-traitants, les administrations touchées

Plus intéressant, la CNIL explique que des « pics » de notifications sont parfois observés : « notamment lorsqu’un sous-traitant informe ses nombreux clients, responsables de traitement, d’une violation de données les concernant. Ceux-ci étant tenus de notifier la CNIL sous 72 heures, comme prévu par l’article 33 du RGPD, jusqu’à 62 notifications ont ainsi été reçues sur un seul jour ».

L’administration publique est derrière un peu plus de 16 % des notifications, avec une progression de 28 % par rapport à l’année dernière ; pas de quoi se réjouir. La plus grosse progression revient au secteur de la santé et de l’action sociale est, avec 83 % d’augmentation en un an. Là encore, le bilan est en phase avec celui de l’ANSSI qui note une augmentation significative des attaques contre les établissements de santé.

• Cybersécurité : on peut prouver que « la sécurité parfaite n'existe pas »

La CNIL rappelle, s’il en était besoin, que « tous les organismes sont concernés par des incidents de sécurité, des multinationales aux très petites entreprises ». La question n’est pas de savoir si on sera un jour attaqué, mais plutôt quand… Cet état des lieux doit se conjuguer avec un autre : « la sécurité parfaite n’existe pas » ; il faut donc se préparer au pire, comme nous l’avions déjà expliqué dans notre dossier sur le Plan Cyber Français.

La recherche médicale en période de pandémie

Sans surprise, « la CNIL a autorisé de nombreuses recherches médicales pour étudier l’épidémie » en 2020 : sur les 423 autorisations délivrées en 2020,  89 étaient en lien avec la Covid-19 « dont près de la moitié ont été délivrées en moins de 48 heures », et même 21 % le jour même. Les universités publiques et CHU représentaient plus de 40 % des demandes. Un exemple concret des questions soulevées :

« Saisie de plusieurs projets liés à la COVID-19 visant à réutiliser les données des dossiers médicaux de patients n’étant alors pas en état d’être informés, la CNIL a admis qu’elles puissent être utilisées à des fins de recherche.

En contrepartie, les responsables de traitement se sont engagés à transmettre au patient, dès que son état le permettrait, une note d’information individuelle de "poursuite de participation" faisant état de son droit d’opposition, et à effacer les données traitées si le patient ne souhaitait pas participer à l’étude ».

Souplesse du RGPD, alignement européen

2020 était une année de « mise à l’épreuve du RGPD », mais tout est bien qui fini bien pour la CNIL : il « s’est révélé suffisamment souple pour permettre aux États membres de l’Union européenne de prendre en compte la nécessité de traiter et de partager des informations dans un contexte sanitaire exceptionnel ».

L’année écoulée était aussi placé sous le signe de la souveraineté avec des faits majeurs : l’arrêt Schrems II de la Cour de justice de l’Union européenne (annulant le Privacy Shield), le Health Data Hub avec l’hébergement des données de santé sur un cloud américain (qui finira sur un « cloud de confiance »), les DGA, DSA et DMA…

De quoi offrir un « alignement inédit des intérêts entre la régulation en matière de protection des données et la politique de relance industrielle ».

• Cloud de confiance : derrière le vernis souverain, le pied dans la porte des Américains
• Cloud de confiance : le jour d'après

La pandémie entraine des changements de paradigme

À l’avenir, la CNIL veut renforcer son « accompagnement des organismes publics et privés dans leur mise en conformité […] Dans un contexte où le RGPD pose un principe de responsabilisation des professionnels quant à leur
conformité de leurs traitements de données, la CNIL apporte sécurité juridique et prévisibilité de la régulation ».

Afin d’éviter que des demandes d’accompagnement se transforment en contrôles pour suspicions de fraude et que les acteurs prennent peur à poser des questions, « la CNIL a mis en place une étanchéité entre services d’accompagnement et services répressifs, qui prévaut dans le cadre de la question posée aux services d’accompagnement et pour une activité à venir ».

La crise sanitaire a eu comme effet « la banalisation des dispositifs de surveillance », bien que les dispositifs « utilisés pendant l’épidémie reposent sur des technologies et des infrastructures informationnelles largement préexistantes à la crise sanitaire ». Menant à une fragilisation de « l’équilibre précaire entre liberté et sécurité ».

Autre effet de la pandémie : « les données de paiement, leur circulation et leur protection font partie intégrante des enjeux de société ». La crise sanitaire a eu pour effet d’accélérer « certaines transformations à l’œuvre dans le domaine des paiements (recours accru au paiement sans contact, recul de l’usage des espèces, progrès des achats en ligne, etc.) ». Or, ces informations « concentrent en effet des enjeux importants en termes de protection des  données personnelles ». Un livre blanc sur le sujet est en préparation, sans plus de précision.

Les actions à venir, les ambitions de la CNIL

Peu avant la publication de son bilan, la CNIL mettait en ligne son 8e cahier Innovation & Prospective. Elle y rappelle à juste titre que « si toute personne doit être en mesure de contrôler, consentir ou s’opposer à l’usage par autrui de ses informations personnelles, les pratiques numériques sont profondément sociales ».

La protection des données devrait donc être « considérée du point de vue de ses publics, en prenant en considération les inégalités et les hiérarchies sociales ». Elle souhaite ainsi « porter une attention et un message spécifiques à certaines personnes ».

Si 87 % des Français « se déclarent aujourd’hui sensibles à l’enjeu de protection des données » selon une étude interne, seuls « 68 % disent connaître la CNIL »… un certain nombre de personnes soucieuses de leurs données personnelles doivent donc avoir bien du mal à trouver des informations fiables et se faire entendre face à des interlocuteurs jouant la carte de l’opacité.

Comme l’Arcep dans le domaine des télécoms et l’ANFR dans celui des ondes, la CNIL est pourtant un acteur privilégié pour les particuliers qui font face à des soucis ou des inquiétudes avec les acteurs du marché, quel que soit leur taille. La Commission doit donc réussir à davantage se faire connaitre du grand public.

La CNIL en est consciente, car cette prise de conscience collective « constitue un enjeu stratégique majeur pour la CNIL, qui doit s’organiser pour continuer à répondre efficacement aux demandes des citoyens ». Un point d’autant plus vrai pour les adolescents et les jeunes de manière globale : « Si on veut échapper à la collecte de nos données, on est marginalisé » (il est évidemment question des réseaux sociaux en creux), expliquait une intervenante lors d’un entretien avec le laboratoire d'innovation numérique de la CNIL (LINC).

Selon une étude interne de la Commission, quatre situations conduisent principalement les individus à se mobiliser pour leurs droits :

• « quand leur réputation est menacée par des informations disponibles en ligne (près de 1/3 des plaintes) […] 
• lorsqu’ils sont victimes d’intrusion dans leur sphère privée par de la prospection commerciale (environ 20 % des plaintes) […] 
• en cas de surveillance sur leur lieu de travail (10 à 15 % des plaintes) […] 
• et enfin lorsqu’ils sont inscrits dans des fichiers nationaux (accidents bancaires, antécédents judiciaires) ».

Pour la gardienne des libertés, « au-delà des droits individuels, des leviers collectifs doivent être développés pour protéger la vie ». Elle souhaite donc axer ses travaux internes autour de trois piliers :

• « rendre visibles les infrastructures de données, c’est-à-dire de rendre davantage transparents le dispositif de collecte de données et les organisations qui y sont attachées ;
• encourager le développement et la création de nouveaux corps intermédiaires de la donnée, comme des associations de consommateurs et de défense des libertés publiques ou des syndicats qui peuvent agréger et représenter les intérêts des personnes en matière de protection des données, mais aussi des communautés open source ;
• adapter les discours sur les enjeux de la protection des données aux publics, afin de mieux prendre en compte les usages et leurs contextes, au travers notamment d’une meilleure compréhension des imaginaires collectifs et individuels ».

Enfin, dans un dernier document, la CNIL se lance dans « une exploration prospective et spéculative » de la protection de la vie privée à l’horizon 2030. Elle y évoque « les différents futurs imaginés et discutés », en appliquant plusieurs approches différentes… c’est une autre histoire dont nous aurons l’occasion de parler dans la suite de notre dossier.