La CNIL dresse son bilan, entre accélérations, simplifications et sanctions

Le rapport de la CNIL dresse une vue d’ensemble de l’année 2021, avec une augmentation des plaintes et des notifications. La Commission présente aussi son plan stratégique 2022 à 2024, son Privacy Research Day, air2022… Elle revient sur des chantiers d’envergure, son fonctionnement et sur LINC.

En 2021, la CNIL a reçu pas moins de 161 475 appels et 16 898 requêtes par voie électronique. C’est largement plus qu’un an auparavant dans le premier cas  (+33 %) où il était question de 121 439. Le second chiffre est par contre en baisse de 17 % ; il y avait eu 20 452  requêtes électroniques en 2020.

La Commission affirme que « les personnes ont de plus en plus conscience de leurs droits : cette tendance, déjà relevée en 2019 et en 2020, se caractérise également par une plus grande volonté de les exercer (49 % des demandes sont liées à l’exercice d’un droit) ».

14 143 plaintes, dont près de 2 000 sur le droit à l’oubli

Au total, 14 143 plaintes (+4 % sur un an, quasiment stable sur deux ans) ont conduit à 5 848 réponses rapides (dans un délai de 10 jours en moyenne), tandis que 8 295 plaintes ont fait l’objet d’une étude plus approfondie et plus longue.

Dans le lot des réponses rapides, 253 plaintes concernaient la « vidéosurveillance mise en œuvre par des particuliers », par exemple avec des caméras qui filmaient au-delà du domicile de l’installateur. Autre élément marquant, « un investissement notable sur le sujet des cookies et autres traceurs : plus de 250 plaintes reçues ont mis en cause des sites web ne respectant a priori pas les règles en la matière ». 

Le droit à l’oubli occupe une part importante : 1 906 plaintes concernent principalement l’effacement de données de dirigeants sur des sites, 175 sont relatives à des demandes d’effacement de contenus dans des articles de presse suite à des condamnations, plus de 200 sur le fichage bancaire, et 292 demandes de déréférencement sur les moteurs de recherche, principalement envers Google. Pour l’instant, la CNIL revendique avoir « obtenu ce déréférencement dans 87 % des cas transmis à Google (certains dossiers étant toujours en cours) ». 

Elle rappelle au passage qu’elle a mis en ligne huit recommandations pour renforcer la protection des enfants en ligne et donne là aussi quelques chiffres : « 75 % des 11-18 ans affirment trouver « difficile » d’obtenir la suppression d’un contenu les concernant qui a été publié par une autre personne. 35 % ont cherché à supprimer leur compte sur un réseau social. 58 % d’entre eux n’ont pas réussi à le faire ».

Signalons aussi que 973 plaintes sont en rapport avec la publicité : par courrier électronique (38 %), SMS (29 %), voie postale (20 %) et téléphone (13 %).

La CNIL note également une « année de très forte activité » sur les demandes de droit d’accès indirect. Cette procédure est notamment utilisée pour « certains fichiers de police, de gendarmerie ou de renseignement, pour lesquels l’accès n’est possible que par l’intermédiaire de la CNIL ».

5 882 demandes du genre ont ainsi été adressées, soit 35 % de plus qu’en 2020. « Plus de 5 300 demandes (90 %) ont été jugées recevables et suffisamment complètes pour permettre à la CNIL d’effectuer les vérifications nécessaires ». La CNIL ajoute que « le FICOBA [fichier des comptes bancaires, ndlr] reste le fichier le plus sollicité par les usagers ». Pour rappel, la Cour des comptes déplorait récemment le peu de recours au FICOBA par les organismes de protection sociale.

384 contrôles, 135 mises en demeure et 18 sanctions

L’année dernière, la CNIL a mené 384 contrôles, dont 118 sur place (en hausse de 64 % sur un an) et 173 en ligne.  Ils ont débouché sur 135 mises en demeure – dont celles de Clearview et de Francetest qui ont été rendues publiques –, 45 rappels à l’ordre et 2 de plus avec injonctions.

89 décisions concernent l’utilisation des traceurs, dont 84 sont « pleinement consacrées » aux cookies. Quatre exemples sont mis en avant. « Brico Privé et Le Figaro : l’internaute doit pouvoir accepter les cookies non essentiels avant leur dépôt ». Google et Facebook étaient également dans le viseur car « refuser les cookies doit être aussi simple qu’accepter ».

Elle a prononcé en tout 18 sanctions, dont 15 amendes (5 avec injonctions sous astreinte) pour un montant total cumulé de 214,106 millions d’euros. Il y a aussi 2 rappels à l’ordre, avec injonctions, et « la première décision de liquidation d’astreinte (c’est-à-dire le paiement d’une somme en raison du non-respect d’un ordre donné par la CNIL). En pratique, la société concernée, initialement sanctionnée d’une amende de 7 300 euros, a dû payer 65 000 euros supplémentaires, car elle n’avait pas procédé aux modifications de son traitement demandées dans la décision de sanction ».

Pour mener à bien ses missions, la CNIL disposait de 245 postes fin 2021, avec un âge moyen de 39 ans, et elle prévoit d’arriver à 270 agents à la fin de cette année. Le nombre d’emplois ne cesse de grandir (doucement) ces dernières années : il y en avait 225 en 2020, 215 en 2019, 200 en 2018, 198 en 2017…  Son budget est de 21,8 millions d’euros, dont 18 millions pour la masse salariale. 

Forte hausse des notifications, poussées par les cyberattaques

La CNIL a traité un total de 6 158 notifications en 2021, ce chiffre comprend les notifications complètes, initiales, complémentaires et annulées. « En ne comptant que les notifications complètes et les initiales, la CNIL recense 5 037 notifications de violations reçues en 2021, contre 2 821 notifications en 2020, soit une augmentation significative de 79 %. En moyenne, près de 14 notifications sont reçues par jour, soit 420 notifications par mois ».

Plusieurs explications sont données : « une très forte croissance des attaques informatiques », notamment par rançongiciels, « une meilleure appropriation de l’obligation de notification » et aussi des notifications par vague. Lorsqu’un sous-traitant signale un incident, ses clients font généralement de même, entrainant un effet boule de neige : «  la CNIL a pu recevoir jusqu’à près de 300 notifications en une seule journée ». Malgré tout, « la CNIL estime cependant que de nombreuses violations restent non notifiées », sans plus de détail.

Quatre secteurs d’activité regroupent à eux seuls plus de 60 % des notifications : activités spécialisées, scientifiques et techniques (21 %), organismes du secteur de la santé humaine et de l’action sociale (18 %), administrations publiques (12 %) et enfin des entreprises du secteur financier et assurance (10 %).

L’année dernière, « près de 63 % des violations notifiées à la CNIL sont causées par un acte externe (accidentel ou malveillant),  alors que les actes internes (accidentels ou malveillants) représentent 17 % ». Le piratage informatique arrive évidemment en tête avec 59 % des notifications, soit une hausse de 128 % en un an. 

La CNIL veut raccourcir les délais d’instruction

La Commission profite de son bilan annuel pour rappeler que l’organisation des services de gestion des plaintes « a été modifiée avec un double objectif : raccourcir les délais d’instruction et mieux suivre les procédures impliquant des investigations ou une coopération avec nos homologues européens ».

Deux mesures ont été prises : « La première a consisté à créer deux services distincts en charge de l’instruction des saisines : un service dédié aux réclamations et demandes de droit d’accès indirect pouvant faire l’objet d’une gestion rapide […] un autre focalisé sur les dossiers nécessitant plusieurs échanges avec les parties […] La seconde mesure a été de décider d’expérimenter le recours à un prestataire externe pour les plaintes les plus répétitives et simples ». Le bilan de ces changements est prévu pour début 2023.

• La CNIL va externaliser la gestion du tiers de ses saisines

LINC devient un service à part entière 

La CNIL a également décidé de restructurer le Laboratoire d’innovation numérique de la CNIL, alias LINC, pour en faire un service à part entière : « en plus de mener et partager des réflexions sur les tendances émergentes d’usage du numérique et de conduire de projets d’expérimentation autour des données, le LINC développe des outils innovants pour les autres services de la CNIL (volet accompagnement et volet répressif) et renforce sa production de travaux et publications scientifiques ».

Les principales missions de LINC sont l’anticipation, l’échange et l’expérimentation. Cette année, l’accent est mis sur « la chaîne de la donnée captée via les applications mobiles » afin de « mettre en lumière la chaîne de la donnée, de sa collecte à sa réutilisation ».

Le laboratoire poursuivra « l’étude des "dark patterns" en analysant les bandeaux cookies ainsi que les autres types de services qui influent sur le choix des utilisateurs ». « On a beaucoup de droits, ok, mais pour les faire valoir, c’est compliqué », explique un plaignant à LINC.

Simplification des avis et de la procédure de sanction

Afin de s’ouvrir plus largement, la CNIL a lancé « un chantier de simplification de la rédaction » de ses avis : « Malgré la complexité des sujets, il s’agit de veiller encore davantage à ce que le texte des avis soit compréhensible par le plus grand nombre (ministère nous ayant saisis, Parlement, journalistes, citoyens intéressés, etc.), tout en conservant les qualités juridiques et techniques ainsi que les messages éthiques ».

La Commission rappelle qu’elle a mis en place une nouvelle procédure de sanction simplifiée, qui « permet de distinguer les dossiers selon leur complexité et leur gravité. Dorénavant, les dossiers à plus faibles enjeux ou plus simples, mais justifiant une saisine de la formation restreinte, pourront être traités selon une procédure simplifiée ». Elle prévient qu’il « s’agit d’un changement profond, dont la pleine appropriation nécessitera probablement plusieurs années ».

Dans la pratique, « ce type de dossier pourra faire l’objet d’une décision par le seul président de la formation  restreinte de la CNIL. Ce dernier pourra alors prononcer dans des délais plus resserrés des amendes d’un montant maximal de 20 000 euros et des astreintes de 100 euros par jour maximum ». 

La Commission met en avant certaines de ses fiches : « À eux seuls, les contenus sur les cookies et autres traceurs totalisent près de 1,4 million de vues uniques, en particulier pour les fiches pratiques (« Que dit la loi ? », « Comment mettre mon site web en conformité ? ») ». 

À venir : air2022, Privacy Research Day et… métaverse

La CNIL dresse enfin la liste des prochains grands événements à venir. Il y a tout d’abord air2022 pour les mineurs, parents et enseignants qui doivent faire « face à la révolution numérique du monde de l’éducation »… révolution largement accélérée par les confinements qui ont conduit certains à faire « avec les moyens du bord ».

Le programme est en cours d’élaboration, mais il sera au moins question de l’impact des nouveaux outils et des enjeux de souveraineté face aux géants du Net… de bien vastes programmes dans des problématiques ne sont pas nouvelles. En 2021, le premier « bac à sable » était consacré aux données de santé. « Ce dispositif est pérennisé » et la thématique 2022 est « celle des outils numériques dans le domaine de l’éducation ».

• Fermeture des écoles, collèges, lycées et universités… le jour d'après
• Continuité pédagogique : caramba, encore raté !

Le 28 juin se tiendra à Paris la première édition du Privacy Research Day organisé par le Laboratoire d’innovation numérique de la CNIL (LINC) afin de « promouvoir les travaux académiques sur la protection de la vie privée ». Cet événement sera « d’une ampleur inédite en France » affirme la CNIL.

L’environnement sera aussi au cœur des réflexions de la CNIL : « Les données, personnelles ou non, sont souvent présentées (à juste titre) comme le nouveau carburant de nos économies. Outre les risques pour la vie privée ou les enjeux économiques, leur utilisation et leur circulation posent aussi des questions environnementales ». Une des questions est de savoir quels sont « les effets de la régulation de la protection des données personnelles sur l’environnement ? »

Enfin, le metaverse « sera sans doute au cœur de nouveaux échanges en 2022 ».

Terminons par le plan stratégique 2022 à 2024 de la CNIL s’articule autour de trois axes : « favoriser la maîtrise et le respect des droits des personnes sur le terrain », « promouvoir le RGPD comme atout de confiance pour les responsables de traitement » et enfin « nos priorités face à l’intensification des usages des données personnelles ».