La CNIL va externaliser la gestion du tiers de ses saisines

La CNIL va externaliser la gestion du tiers de ses saisines

RGPDed

Avatar de l'auteur
Jean-Marc Manach

Publié dans

Droit

24/02/2022 9 minutes
3

La CNIL va externaliser la gestion du tiers de ses saisines

Annoncée en octobre dernier, l'externalisation de la gestion des saisines les plus simples de la CNIL vient de faire l'objet d'un appel d'offres. On y apprend que 30 % des plaintes ont trait à Internet et aux télécoms, 21 % au commerce, et que 1 000 des 14 000 saisines annuelles sont transfontalières.

La CNIL vient de lancer un appel d'offres d' « externalisation de certaines opérations de traitement de saisines » d'un montant estimé à 150 000 euros hors taxes par an (soit 600 000 pour toute la durée des 4 ans du marché).

En octobre dernier, elle avait annoncé vouloir « continuer à gagner en efficacité dans le traitement des dossiers et poursuivre la numérisation de l’institution » afin d' « améliorer la réponse de la CNIL aux nombreuses saisines des particuliers et des entreprises » en externalisant partiellement le traitement des plaintes simples, et ce au titre d’une expérimentation.

Le nombre de saisines adressées à la CNIL a en effet « connu une croissance importante lors de l’entrée en application du RGPD » :

« Il a ainsi franchi le seuil des 10.000 en 2018. Depuis 2019, il s’est stabilisé autour de 14.000. En 2021, parmi ces 14.000 saisines, plus de 6.000 ont fait l’objet d’une réponse rapide. »

Les 8 000 autres saisines « ont nécessité un traitement plus approfondi » par sa direction de la protection des droits et des sanctions (DPDS), en charge de l’exercice des missions de contrôle a posteriori sur les traitements de données à caractère personnel dévolus à la CNIL.

La CNIL estime que « le stock de saisines pour lesquelles certaines opérations seraient externalisées est d’environ 4 000 unités » par an, chiffre correspondant à l'augmentation due au RGPD. L'autorité ajoute que cette volumétrie, sujette à fluctuation, n'est qu'une estimation et non un engagement contractuel.

Seulement 230 relances d' « organismes incriminés » en 2021

L’externalisation de ces opérations porte sur des saisines répondant à l’ensemble des critères suivants, liés à l'objet de la saisine, à son auteur, et à l'organisme incriminé. Elles devront ainsi :

  • porter sur des points juridiques « identifiés par la CNIL comme stabilisés (absence de question de droit nouvelle) », être clairement formulées pour des motifs simples, et ne viser qu'un seul responsable de traitement, et il ne doit pas s'agir de saisines transontalières ;
  • avoir été formulées par des personnes physiques agissant pour ses propres intérêts ou pour ceux d’une personne l’ayant spécialement mandaté à cet effet ;
  • viser des organismes qui ne sont pas l’État (notamment ses ministères).

La CNIL se réserve la possibilité de transmettre au prestataire des opérations liées à des saisines ne répondant pas à ces critères, mais pour lesquelles une seule action est à effectuer par le prestataire, tel que l’envoi d’un courrier de relance à l’OI (pour « organisme incriminé », car « mis en cause dans une saisine qui lui a été adressée », précise le glossaire de la CNIL).

En 2021, 230 relances seulement avaient ainsi été envoyées par les services de la CNIL parce que les OI en question n'avaient pas donné suite dans le délai fixé à des courriers d'instructions adressés par l'autorité.

En tout état de cause, le prestataire devra s'engager, à compter de la date d’envoi de la saisine par la CNIL, à effectuer l’ensemble des opérations mentionnées dans un délai inférieur à 1 semaine pour 90 % des saisines et l'inégralité des relances, et dans un délai inférieur à 2 semaines pour 100 % des saisines.

La banalité du traitement « Publik » des saisines de la CNIL

En l'espèce, le prestataire devra donc réceptionner les saisines dans Publik, du nom de l'applicatif métier qui réceptionne les formulaires remplis par les usagers, et qui permet le traitement des demandes transmises au titulaire par la CNIL, puis :

  • analyser la complétude des demandes, voire demander des pièces complémentaires à l'auteur de la saisine ;
  • analyser les pièces transmises, identifier la problématique via des scripts établis, et retransmettre à la CNIL les saisines n'entrant pas dans les problématiques pré-citées ;
  • vérifier voire corriger la qualification de la saisine ;
  • envoyer des courriers types à destination de l’auteur de la saisine :
    o information du plaignant (IPL) ;
    o courrier à l’auteur de la saisine (CR) ;
    o clôture (CLA) ;
  • à destination de l’OI :
    o première relance (RS) ;
    o dernière relance (DR) ;
    o relance unique (RU) ;
    o rappel à la loi (RAL) ;
  • tracer via Publik l’ensemble des opérations de traitement réalisées ;
  • mettre à jour le statut de la saisine en fonction de l’état d’avancement du traitement ;
  • informer la CNIL à l’issue du traitement de la saisine.

Cette énumération peut paraître fastidieuse, mais elle témoigne tout autant de la banalité du travail quotidien des petites mains de la CNIL que de la somme de démarches à effectuer et des processus mis en place, comme le montre ce schéma de traitement des plaintes, repéré par David Libeau : 

CNIL saisines plaintes

Le Cahier des Clauses Techniques Particulières (CCTP) de 29 pages de cet appel d'offres est truffée d'autres fonctionnalités explicitant les exigences de la CNIL, révélant en creux ses processus internes.

On trouve aussi en annexe une présentation des thématiques des plaintes « dont certaines opérations de traitement seraient externalisées (...) sauf problématique juridique complexe » : 

  • Absence de réponse à une demande d'exercice d'un droit à la protection des données personnelles
  • Vidéosurveillance (information des personnes, durée de conservation, etc.) 
  • Géolocalisation de salarié(s) (information des personnes, durée de conservation, etc.) 
  • Problème de sécurité (envoi de courriels à plusieurs destinataires sans dissimulation de leurs
    coordonnées, envoi de mot de passe en clair, etc.)
  • Prospection commerciale (téléphone, courriel, courrier) en dépit de l’opposition de la personne
    concernée (notamment dans le cadre d’une demande de réexpédition du courrier) et absence
    d'information sur l'origine des données
  • Contestation d'inscription dans certains fichiers (Préventel, FICP, FCC, FCC-CB)

30 % des plaintes visent Internet et les télécoms, 21 % le commerce

Ce CCTP met aussi en lumière les secteurs concernés par ces saisines, qui « sont nombreux » et « très diversifiés », mais dont « le plus grand nombre » concernent les secteurs de l’Internet ou des télécommunications (30 %), suivi du commerce (21 %) et du travail (18 %), loin devant les secteurs santé/social (8 %), bancaire (7 %), libertés publiques (6 %) et régalien (3 %).

saisines CNIL

En matière de prospection commerciale, associative, politique, 973 plaintes reçues en 2021 concernaient de la publicité par courrier électronique (38 %), SMS (29 %), voie postale (20 %) et téléphone (13 %) :

« Les personnes rencontrent le plus généralement des difficultés pour ne plus recevoir de prospection alors qu’elles ont exprimé leur opposition à ces envois ; elles rencontrent également des difficultés pour remonter la chaine d’intermédiaires afin d’identifier qui a, au départ, transmis leurs coordonnées à des partenaires à des fins de prospection. »

En matière d' « effacement sur Internet », 1 906 plaintes reçues en 2021 concernaient « principalement l’effacement de données concernant des dirigeants de sociétés publiées sur des sites web de type annuaires d’entreprises ayant collecté les informations auprès de l’INPI ou de l’INSEE au titre de l’open data du registre du commerce et des sociétés » :

« Les plaintes concernent également la publication de données mettant en cause ou dénigrant la personne concernée notamment sur des réseaux sociaux ou des blogs. La CNIL a également reçu plus de 175 plaintes relatives à des demandes d’effacement de contenus concernant des articles de presse publiés en ligne faisant notamment suite à des condamnations pénales (retrait de l’article, anonymisation, désindexation). »

La CNIL a par ailleurs reçu en 2021 292 nouvelles plaintes en matière de déréférencement (-23,5 %), « principalement contre le moteur de recherche Google, très majoritairement utilisé par les internautes français, et a obtenu le déréférencement dans 87 % des cas transmis à Google (certains dossiers étant toujours en cours) ».

Plus de 1 000 saisines transfontalières

83 % des plaintes reçues en 2021 relatives à la surveillance des salariés concernaient en outre des dispositifs de vidéosurveillance au travail :

« Généralement ces plaintes visent des entreprises de taille réduite, qui ne disposent ni d’un service juridique ni du soutien d’un délégué à la protection des données. L’action de la CNIL vise donc à les informer de leurs obligations afin qu’elles se mettent en conformité. Lorsque cette action ne suffit pas, des contrôles sur place peuvent avoir lieu, qui peuvent donner lieu à des mesures correctrices. »

1 436 plaintes reçues (dont 28,7 % dans le secteur Travail) relevaient du droit d'accès. La CNIL a ainsi reçu « 112 plaintes concernant des difficultés dans l’exercice du droit d’accès à son dossier médical, auprès d’un professionnel de santé (dentiste, médecin généraliste ou spécialisé, établissement de santé public ou privé) ».

La CNIL a aussi et « encore reçu beaucoup de plaintes (plus de 200, mais en baisse de 50 %) » concernant l’inscription par les établissements bancaires et de crédit de personnes dans les fichiers d’incidents de la Banque de France, notamment le fichier d’incidents de remboursement des crédits aux particuliers (FICP) et le fichier central des chèques (FCC).

On apprend également que « plus de 1 000 » saisines, en 2020, relevait de questions transfontalières, soit parce que le responsable du fichier est établi dans plusieurs États membres de l’Union européenne, soit parce qu’il est établi dans un seul, mais que son fichier concerne des personnes dans plusieurs États membres.

Le Défenseur des droits externalise lui aussi son centre d'écoute

Le Secrétariat général du Gouvernement vient de son côté de lancer un autre appel d'offres visant à renouveler le contrat d'externalisation des deux centres d'écoute téléphonique du Défenseur des droits.

Son accueil téléphonique principal enregistre une moyenne de 450 appels par jour, ou 9 000 par mois, de 2 minutes en moyenne. Son service anti-discriminations, lancé en février 2021, avait enregistré 5 000 appels ayant conduit à 3 500 saisines lors de ses 4 premiers mois d'acivité. Il dénombrerait depuis 30 appels par jour en moyenne, soit 980 par mois, d'une durée moyenne de 15 minutes mais pouvant aller jusqu'à 50 minutes.

Le précédent marché avait été attribué en 2018 à City One pour 823 680 euros. Le montant maximal du nouveau marché est quant à lui estimé à 1,65 millions d'euros.

Écrit par Jean-Marc Manach

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Seulement 230 relances d' « organismes incriminés » en 2021

La banalité du traitement « Publik » des saisines de la CNIL

30 % des plaintes visent Internet et les télécoms, 21 % le commerce

Plus de 1 000 saisines transfontalières

Le Défenseur des droits externalise lui aussi son centre d'écoute

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Fermer

Commentaires (3)


tpeg5stan
Le 25/02/2022 à 08h 47

Je comprends le besoin, mais je trouve que c’est rarement une bonne idée de sous-traiter ce genre de mission


alkashee Abonné
Le 25/02/2022 à 13h 31

“Le précédent marché avait été attribué en 2018 à City One pour 823 680 euros. Le montant maximal du nouveau marché est quant à lui estimé à 1,65 millions d’euros.”



Ca va, 100% d’augmentation du prix de l’appel d’offre c’est bien :fumer:


Cqoicebordel Abonné
Le 26/02/2022 à 19h 04

Qu’ils embauchent 2 à 4 personnes, et y’aura plus ces paperasses à faire pour les appels d’offres.