Plus de 11 000 plaintes déposées à la CNIL en 2018, un record

CNIL est venu le temps des cathédrales 5
Accès libre
image dediée
Crédits : Marc Rees (licence CC-BY-SA 3.0)
Loi
Xavier Berne

Marie-Laure Denis, la nouvelle présidente de la Commission nationale de l’informatique et des libertés (CNIL), a présenté hier le dernier rapport d’activité de l’institution, consacré notamment au RGPD. L’autorité administrative y présente au passage ses grands axes de travail pour 2019.

Si la CNIL a fêté ses quarante ans l’année dernière, l’autorité indépendante estime que 2018 aura avant tout été placée sous le signe du règlement européen de protection des données personnelles. À ses yeux, l’entrée en application du RGPD a en effet conduit à « une prise de conscience inédite », tant de la part des professionnels que des particuliers.

Cette évolution s’est traduite par une « augmentation considérable » des plaintes adressées à la gardienne des données personnelles, qui en a reçu 11 077 l’année dernière (soit 32 % de plus qu’en 2017). Ce chiffre fait surtout figure de « record » historique.

Des plaintes (encore) en augmentation

Plus d’un tiers des plaintes reçues l’année dernière par la CNIL faisaient suite à des problèmes de suppression de données sur Internet (photos, comptes, noms, etc.). Viennent ensuite les litiges commerciaux, en lien par exemple avec le démarchage abusif (21 % des plaintes).

La commission explique à cet égard avoir constaté « une très forte hausse des plaintes concernant la prospection par SMS. Les personnes se plaignent de recevoir des sollicitations sans que leur consentement préalable n’ait été recueilli et que l’envoi de « STOP » à l’expéditeur fasse cesser la réception de publicités. »

Dans le haut de la pile, figurent également les signalements émanant de salariés, inquiets par exemple des dispositifs de vidéosurveillance ou de géolocalisation déployés par leur employeur.

Il est au passage à noter que le CNIL a reçu 1 170 notifications de violations de données en 2018, une autre nouveauté issue du RGPD.

CNIL rapport 2018
Crédits : CNIL

Toujours au titre de l’année 2018, la CNIL a procédé à 310 contrôles : 184 contrôles sur place, 51 contrôles en ligne, 51 contrôles sur pièces, 20 contrôles de dispositifs de vidéosurveillance (un chiffre réduit par rapport aux années précédentes, « compte tenu de l’entrée en application du RGPD et d’interrogations sur le cadre juridique applicable ») et 4 auditions.

L’autorité indépendante explique avoir notamment cherché à déceler des failles de sécurité. « Ce sont presque 90 violations de données qui ont pu être résolues, soit par une prise de contact immédiate avec le responsable de traitement, soit, pour les cas les plus graves, par des contrôles, des mises en demeure ou des sanctions », souligne la CNIL.

Deuxième grand axe de contrôle : « la surveillance des usagers sur la voie publique », par les forces de l’ordre. La gardienne des données personnelles s’est ainsi penchée sur les radars-tronçons, les « caméras-piétons », etc. Son rapport d'activité ne s'étend cependant pas sur l'appel, lancé au législateur en septembre dernier, à initier d'urgence un « débat démocratique sur les nouveaux usages des caméras » – lequel est resté lettre morte...

Uniquement des sanctions « pré-RGPD »

En 2018, la CNIL a levé le pied sur les mises en demeure. Il n’y en a eu « que » 49 l’année dernière, contre 79 en 2017. Et pour cause : depuis la loi pour une République numérique de 2016, l’institution peut infliger des sanctions pécuniaires sans en passer par cette sorte d’avertissement prélable.

Le nombre de sanctions prononcées par la gardienne des données personnelles reste néanmoins plutôt bas : 10 sanctions pécuniaires (dont 1 n’a pas été rendue publique), soit une de plus qu’en 2017.

La CNIL a notamment mis Uber à l’amende (400 000 euros), dont les « négligences » avaient permis à des pirates de s’emparer, fin 2016, de données visant plus d’un million de Français. Bouygues Télécom et Optical Center furent pour leur condamnés à verser 250 000 euros, également pour des défaillances dans la sécurisation des données de leurs clients.

CNIL rapport 2018
Crédits : CNIL

Ces montants paraissent cependant bien faibles au regard des 50 millions d’euros d’amende qui ont été infligés à Google en début d’année. Comme le souligne la CNIL, toutes ces sanctions faisaient suite à des faits antérieurs à l’entrée en application du RGPD. L’autorité administrative ne pouvait donc aller au-delà du plafond transitoire de 3 millions d’euros fixé par la loi pour une République numérique.

Avec le RGPD, la commission peut désormais infliger des amendes de 20 millions d’euros (ou 4 % du chiffre d’affaires annuel mondial pour les entreprises), selon les types de violation. 

De ce déluge de chiffres, on notera enfin qu’un avertissement non-public a été prononcé par la CNIL l’année dernière, ainsi qu’un « non-lieu à sanctionner ».

Pistes pour 2019

Les yeux rivés sur les mois à venir, la CNIL explique que 2019 « marque l’achèvement de cette phase de transition entre l’ancienne législation et le RGPD ». L’institution promet ainsi de veiller « pleinement » au respect des « nouvelles obligations et nouveaux droits issus du cadre européen (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations) ».

« Lorsqu’elle constatera des manquements », l’autorité indépendante annonce qu’elle « en tirera les conséquences qui s’imposent, jusqu’à la sanction si nécessaire ». Le tout néanmoins avec « discernement dans le choix des mesures correctrices » (rappel à l’ordre, injonction sous astreinte, sanction pécuniaire...).

Afin de « continuer à être un régulateur du numérique efficace et pragmatique », la CNIL explique qu’elle se penchera cette année sur :

  • Les assistants vocaux
  • Le « cloud computing à l’ère du RGPD »
  • L’ouverture des « données d’intérêt général »
  • La communication politique, en marge notamment des élections européennes
  • La réutilisation, à des fins de recherche, des données accessibles « en ligne »
  • La protection des mineurs

La gardienne des données personnelles affirme en outre qu’elle continuera à accompagner différents acteurs, notamment publics. « En 2019, la CNIL développera de nombreuses actions de sensibilisation à destination des collectivités territoriales et tout particulièrement des petites communes, annonce l’institution. Elle proposera au premier semestre un guide pratique, une rubrique dédiée sur son site avec des fiches thématiques permettant d’aller plus loin dans sa conformité, elle poursuivra ses échanges avec les têtes de réseau et les associations telles que l’ADF, l’AMRF, l’AMF, l’ANDAME, etc. »

La publication d’un guide et de fiches pratiques consacrées à l’ouverture des données publiques, en lien avec la CADA, est d’autre part promise pour cette année.

La CNIL précise enfin avoir bénéficié d’un budget de 17,6 millions d’euros au titre de l’année 2018, dont la plus grande partie est consacrée à ses dépenses de personnels (quasiment 200 agents). L’institution devrait bénéficier d’une enveloppe de 18,8 millions d’euros pour cette année.

Ce budget est bien moindre que celui du Conseil supérieur de l’audiovisuel (environ 37 millions d’euros annuels). Il demeure néanmoins supérieur à celui de la Hadopi (environ 8 millions d’euros) ou de la Commission d’accès aux documents administratifs (1,5 million d’euros pour 2017).


chargement
Chargement des commentaires...