Plus de 11 000 plaintes déposées à la CNIL en 2018, un record

Plus de 11 000 plaintes déposées à la CNIL en 2018, un record

CNIL est venu le temps des cathédrales

Avatar de l'auteur
Xavier Berne

Publié dans

Droit

16/04/2019 7 minutes
5

Plus de 11 000 plaintes déposées à la CNIL en 2018, un record

Marie-Laure Denis, la nouvelle présidente de la Commission nationale de l’informatique et des libertés (CNIL), a présenté hier le dernier rapport d’activité de l’institution, consacré notamment au RGPD. L’autorité administrative y présente au passage ses grands axes de travail pour 2019.

Si la CNIL a fêté ses quarante ans l’année dernière, l’autorité indépendante estime que 2018 aura avant tout été placée sous le signe du règlement européen de protection des données personnelles. À ses yeux, l’entrée en application du RGPD a en effet conduit à « une prise de conscience inédite », tant de la part des professionnels que des particuliers.

Cette évolution s’est traduite par une « augmentation considérable » des plaintes adressées à la gardienne des données personnelles, qui en a reçu 11 077 l’année dernière (soit 32 % de plus qu’en 2017). Ce chiffre fait surtout figure de « record » historique.

Des plaintes (encore) en augmentation

Plus d’un tiers des plaintes reçues l’année dernière par la CNIL faisaient suite à des problèmes de suppression de données sur Internet (photos, comptes, noms, etc.). Viennent ensuite les litiges commerciaux, en lien par exemple avec le démarchage abusif (21 % des plaintes).

La commission explique à cet égard avoir constaté « une très forte hausse des plaintes concernant la prospection par SMS. Les personnes se plaignent de recevoir des sollicitations sans que leur consentement préalable n’ait été recueilli et que l’envoi de « STOP » à l’expéditeur fasse cesser la réception de publicités. »

Dans le haut de la pile, figurent également les signalements émanant de salariés, inquiets par exemple des dispositifs de vidéosurveillance ou de géolocalisation déployés par leur employeur.

Il est au passage à noter que le CNIL a reçu 1 170 notifications de violations de données en 2018, une autre nouveauté issue du RGPD.

CNIL rapport 2018
Crédits : CNIL

Toujours au titre de l’année 2018, la CNIL a procédé à 310 contrôles : 184 contrôles sur place, 51 contrôles en ligne, 51 contrôles sur pièces, 20 contrôles de dispositifs de vidéosurveillance (un chiffre réduit par rapport aux années précédentes, « compte tenu de l’entrée en application du RGPD et d’interrogations sur le cadre juridique applicable ») et 4 auditions.

L’autorité indépendante explique avoir notamment cherché à déceler des failles de sécurité. « Ce sont presque 90 violations de données qui ont pu être résolues, soit par une prise de contact immédiate avec le responsable de traitement, soit, pour les cas les plus graves, par des contrôles, des mises en demeure ou des sanctions », souligne la CNIL.

Deuxième grand axe de contrôle : « la surveillance des usagers sur la voie publique », par les forces de l’ordre. La gardienne des données personnelles s’est ainsi penchée sur les radars-tronçons, les « caméras-piétons », etc. Son rapport d'activité ne s'étend cependant pas sur l'appel, lancé au législateur en septembre dernier, à initier d'urgence un « débat démocratique sur les nouveaux usages des caméras » – lequel est resté lettre morte...

Uniquement des sanctions « pré-RGPD »

En 2018, la CNIL a levé le pied sur les mises en demeure. Il n’y en a eu « que » 49 l’année dernière, contre 79 en 2017. Et pour cause : depuis la loi pour une République numérique de 2016, l’institution peut infliger des sanctions pécuniaires sans en passer par cette sorte d’avertissement prélable.

Le nombre de sanctions prononcées par la gardienne des données personnelles reste néanmoins plutôt bas : 10 sanctions pécuniaires (dont 1 n’a pas été rendue publique), soit une de plus qu’en 2017.

La CNIL a notamment mis Uber à l’amende (400 000 euros), dont les « négligences » avaient permis à des pirates de s’emparer, fin 2016, de données visant plus d’un million de Français. Bouygues Télécom et Optical Center furent pour leur condamnés à verser 250 000 euros, également pour des défaillances dans la sécurisation des données de leurs clients.

CNIL rapport 2018
Crédits : CNIL

Ces montants paraissent cependant bien faibles au regard des 50 millions d’euros d’amende qui ont été infligés à Google en début d’année. Comme le souligne la CNIL, toutes ces sanctions faisaient suite à des faits antérieurs à l’entrée en application du RGPD. L’autorité administrative ne pouvait donc aller au-delà du plafond transitoire de 3 millions d’euros fixé par la loi pour une République numérique.

Avec le RGPD, la commission peut désormais infliger des amendes de 20 millions d’euros (ou 4 % du chiffre d’affaires annuel mondial pour les entreprises), selon les types de violation. 

De ce déluge de chiffres, on notera enfin qu’un avertissement non-public a été prononcé par la CNIL l’année dernière, ainsi qu’un « non-lieu à sanctionner ».

Pistes pour 2019

Les yeux rivés sur les mois à venir, la CNIL explique que 2019 « marque l’achèvement de cette phase de transition entre l’ancienne législation et le RGPD ». L’institution promet ainsi de veiller « pleinement » au respect des « nouvelles obligations et nouveaux droits issus du cadre européen (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations) ».

« Lorsqu’elle constatera des manquements », l’autorité indépendante annonce qu’elle « en tirera les conséquences qui s’imposent, jusqu’à la sanction si nécessaire ». Le tout néanmoins avec « discernement dans le choix des mesures correctrices » (rappel à l’ordre, injonction sous astreinte, sanction pécuniaire...).

Afin de « continuer à être un régulateur du numérique efficace et pragmatique », la CNIL explique qu’elle se penchera cette année sur :

  • Les assistants vocaux
  • Le « cloud computing à l’ère du RGPD »
  • L’ouverture des « données d’intérêt général »
  • La communication politique, en marge notamment des élections européennes
  • La réutilisation, à des fins de recherche, des données accessibles « en ligne »
  • La protection des mineurs

La gardienne des données personnelles affirme en outre qu’elle continuera à accompagner différents acteurs, notamment publics. « En 2019, la CNIL développera de nombreuses actions de sensibilisation à destination des collectivités territoriales et tout particulièrement des petites communes, annonce l’institution. Elle proposera au premier semestre un guide pratique, une rubrique dédiée sur son site avec des fiches thématiques permettant d’aller plus loin dans sa conformité, elle poursuivra ses échanges avec les têtes de réseau et les associations telles que l’ADF, l’AMRF, l’AMF, l’ANDAME, etc. »

La publication d’un guide et de fiches pratiques consacrées à l’ouverture des données publiques, en lien avec la CADA, est d’autre part promise pour cette année.

La CNIL précise enfin avoir bénéficié d’un budget de 17,6 millions d’euros au titre de l’année 2018, dont la plus grande partie est consacrée à ses dépenses de personnels (quasiment 200 agents). L’institution devrait bénéficier d’une enveloppe de 18,8 millions d’euros pour cette année.

Ce budget est bien moindre que celui du Conseil supérieur de l’audiovisuel (environ 37 millions d’euros annuels). Il demeure néanmoins supérieur à celui de la Hadopi (environ 8 millions d’euros) ou de la Commission d’accès aux documents administratifs (1,5 million d’euros pour 2017).

5

Écrit par Xavier Berne

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des plaintes (encore) en augmentation

Uniquement des sanctions « pré-RGPD »

Pistes pour 2019

Commentaires (5)


Ha le fameux permis de voler si c’est plus de 20 millions ou 4% de ton chiffre d’affaire…


Pour ma part, j’ai remonté aux DPO de trois entreprises depuis janvier 2019 un incident d’exploitation de mes données personnelles sous la forme de démarchage publicitaire non sollicité :




  • Mail publicitaire au moment des fêtes de fin d’années d’une enseigne commerciale alors que tous les abonnements étaient désactivés

  • SMS publicitaire du supermarché où je fais mes courses, alors qu’aucun canal commercial n’était actif et soudainement coché

  • Canaux de communications mélangeant le publicitaire et l’opérationnel de notre syndic de copropriété



    Sur les 3 signalements, un a fait l’objet d’une escalade à la CNIL pour non réponse dans le délai imparti de 30 jours.

    J’ai eu une réponse 2 jours après, comme par hasard.



    Les enjeux pour les entreprises sont bien plus élevés qu’avant, ne les laissez pas profiter de vous et signalez la moindre anomalie aux DPO concernés. Tout en restant cordial, mais ferme.








SebGF a écrit :



Sur les 3 signalements, un a fait l’objet d’une escalade à la CNIL pour non réponse dans le délai imparti de 30 jours. 





Il me semble que le délai est de 2 mois.



Comme tu le dis, le fait de citer les articles de la loi CNIL + ceux du RGPD suffit à avoir une réponse rapide. Mais parfois c’est juste une réponse dans le vent, les e-mails non sollicités continuent de pleuvoir…



Non, un mois :https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article12



C’est ce que la CNIL m’a répondu dans un premier temps quand j’ai demandé la marche à suivre.





Bonjour Monsieur,



Nous vous remercions de nous avoir contactés.



Je vous informe que (…) a désigné un Délégué à la protection des données (DPO).



Pour toute question relative aux traitements de données mis en oeuvre au sein de cet organisme, je vous invite, dans un premier temps, à prendre contact avec lui à l’adresse suivante:



dpo@….



ou



…..





Je vous rappelle que le responsable d’un fichier dispose d’un délai maximal d’un mois à compter de la réception de votre demande pour vous répondre (article 12 3. du Règlement général sur la protection des données).



Notre Commission pourra intervenir si vous n’avez pas obtenu de réponse à votre courrier à l’expiration de ce délai. Il conviendra de joindre à votre réclamation une copie des correspondances que vous avez pu échanger avec cet organisme.


Ok, moi je vois 2 mois ici :

https://www.cnil.fr/fr/respecter-les-droits-des-personnes

 



Les personnes concernées par des traitements de données personnelles

disposent de droits leur permettant de garder la maîtrise des

informations les concernant. Le responsable de fichier doit expliquer

aux personnes concernées la procédure  (où, comment et à qui s’adresser

?) permettant de les exercer concrètement. Le responsable du

fichier dispose d’un délai de deux mois pour répondre aux demandes.





Mais le RGPD doit être d’application supérieure, donc ça doit bien être 1 mois, la CNIL n’a pas du actualiser son site.