La CNIL a rendu public le bilan de ses activités durant l’année 2019. Selon la présidente Marie-Laurent Denis, « un an après l’entrée en application du RGPD, l’année 2019 démontre que le RGPD est au cœur des préoccupations des Français et des Européens. Cette année a été marquée par un nombre toujours plus élevé de plaintes adressées à la CNIL et par la coopération avec ses homologues européens devenue une réalité quotidienne. L’année 2019 en chiffres, c’est notamment plus de 14 000 plaintes, soit plus de 27 % d’augmentation par rapport à l’année précédente, dont 20 % de plaintes transfrontalières, 145 000 appels, 8 millions de visites sur notre site web et 17 300 requêtes électroniques sur Besoin d’aide, soit 12 % d’augmentation sur la même période. En parallèle, près de 65 000 organismes ont désormais déclaré un délégué à la protection des données (DPO) ». En cas de plainte, le plus souvent, la CNIL informe le responsable du fichier des faits soulevés par le plaignant afin que, en cas de manquement, il se mette en conformité et respecte les droits des personnes. L’année 2019, première année pleine d’application du RGPD, a été marquée par un nombre toujours plus élevé de plaintes adressées à la CNIL, par la nécessité d’adapter les moyens d’action des services de la CNIL à ce flux et par la montée en puissance de la coopération avec les homologues européens.
En effet, comme l’a souligné sa présidente, la CNIL a reçu un nombre record de plaintes en 2019 : 5 620 plaintes (+ 64 %) ont fait l’objet d’un traitement rapide de premier niveau. Les personnes reçoivent ainsi des réponses sur :
- leurs droits et leurs modalités d’exercice ;
- les obligations des responsables de fichiers ;
- les autres administrations susceptibles de leur venir en aide au regard de leur demande.
8 517 plaintes (- 8 %) ont nécessité un traitement plus approfondi.
Après un examen de l’objet de la plainte, d’éventuelles vérifications informelles ou demandes de complément d’information auprès du plaignant, le mode d’action le plus approprié est mis en œuvre. La CNIL peut en effet intervenir, toujours par écrit, auprès du responsable du fichier mis en cause pour :
- lui rappeler ses obligations et l’inviter à prendre les mesures nécessaires ;
- investiguer plus précisément les conditions de mise en œuvre de son traitement de données personnelles (par exemple, la durée de conservation des données) et/ou demander des précisions sur la situation individuelle du plaignant ;
- obtenir tout justificatif utile.
L’entrée en application du RGPD a conduit à une hausse très forte des plaintes reçues, toujours plus complexes, techniques et médiatisées. Cela conduit la CNIL à redessiner ses pratiques d’intervention auprès des organismes mis en cause afin d’établir une priorité dans les actions et de les mener dans un cadre plus global.
En identifiant l’accumulation de plaintes contre un même acteur, un même secteur ou une même pratique, la CNIL peut procéder à des vérifications approfondies des mesures techniques et organisationnelles mises en place pour se conformer aux règles en matière de protection des données.
Information du public (particuliers et professionnels)
La CNIL informe et conseille les particuliers et les professionnels désireux d’obtenir un renseignement juridique ou une aide à la mise en conformité de leur traitement aux règles régissant la protection des données personnelles. Les usagers contactent la CNIL par téléphone lors des permanences juridiques tenues 4 jours par semaine, par téléservices en ligne, ou encore par courriel ou par courrier postal.
L’année 2019 a connu une augmentation sensible du nombre de requêtes écrites reçues (+ 5 %) avec 17 302 requêtes adressées principalement par les particuliers soucieux de connaître leurs droits ou désirant les exercer (droit d’accès pour l’essentiel). Le téléservice « Nous contacter » est la voie la plus utilisée par les usagers et est en constante progression (+ 6 % cette année).
La prise de conscience par les usagers de leurs droits est aussi confirmée par la forte augmentation de la consultation de la rubrique « Besoin d’aide » (+ 44 %), qui s’est enrichie à cet effet de 30 nouvelles réponses (soit un fond actualisé de 521 questions/réponses).
Les thématiques les plus consultées portent sur la CNIL (81 296 consultations), le casier judiciaire (28 530 consultations) et l’opt-in/opt-out (23 883 consultations). Les professionnels privilégient le canal téléphonique pour les demandes de conseil en amont ou pour la mise en conformité de leurs traitements.
Faisant le constat que les parents se sentent démunis face aux usages numériques de leurs enfants, la CNIL et le collectif Educnum ont organisé en septembre 2019 à Poitiers les journées Educnum, un évènement destiné aux familles et aux classes. La création d’un escape game sur des cas d’usage tirés du quotidien (objets connectés, réseaux sociaux et jeux vidéo, cyberharcèlement, fake news) a permis de sensibiliser parents et enfants aux enjeux soulevés par le numérique, sur un mode ludique et non anxiogène. Les participants sont repartis avec un livret explicitant les concepts du jeu, des ressources et des bonnes pratiques.
En 2020, l’escape game sera décliné en une application web pour permettre à chaque acteur de l’éducation et à chaque parent qui le souhaite de tester le jeu en ligne.
Conseiller les pouvoirs publics et le parlement
En 2019, la CNIL a participé à plus de trente auditions et répondu aux questions techniques posées sous forme de questionnaires préparatoires. Elle a également donné son avis sur plusieurs projets de loi, notamment en matière de santé.
Par exemple, dans le cadre de ses activités au parlement, la CNIL s’est prononcée le 12 septembre 2019 sur un article du projet de loi de finances pour 2020 permettant, à titre expérimental, la collecte de données personnelles publiées sur internet par les utilisateurs de plateformes en ligne (réseaux sociaux, plateformes de mise en relation et de partage de contenus) afin de détecter les infractions, considérées comme les plus graves, aux réglementations fiscales et douanières.
Si la CNIL a reconnu la légitimité de l’objectif poursuivi par le dispositif, à savoir la lutte contre la fraude, elle a souligné son caractère inédit. Dans un contexte d’évolution significative des méthodes de travail des administrations fiscales et douanières, il s’agit de permettre à ces administrations d’améliorer le ciblage des contrôles fiscaux à partir de nouvelles techniques (utilisation d’algorithmes de type « auto-apprenants »), ainsi que d’un volume important de données de toute nature dès lors qu’elles sont librement accessibles sur internet.
Participer à la régulation internationale
L’année 2019 a permis à la CNIL et ses homologues européens de continuer à mettre en œuvre le nouveau modèle de gouvernance et les mécanismes de coopération entre autorités nationales de protection des données, instaurés par le RGPD. Ce nouveau cadre d’action incite les autorités à coopérer en ayant recours à des outils dédiés et vise à assurer une cohérence de leurs positions en vue d’une application harmonisée du RGPD à travers les États membres de l’UE.
La CNIL joue un rôle moteur au sein du collectif européen en participant activement aux activités du Comité européen de la protection des données. Le CEPD est présidé depuis sa création par la présidente de l’autorité de protection des données autrichienne, Andrea Jelinek. Durant l’année 2019, 11 séances plénières du comité se sont tenues. Ces plénières sont alimentées par les travaux d’une dizaine de groupes d’experts en charge de thématiques spécifiques, auxquels la CNIL participe activement.
À titre d’illustration, le CEPD a été particulièrement actif sur la problématique de l’accès aux preuves électroniques par les autorités publiques étrangères. Il a adopté des avis sur le Cloud Act, sur la révision de la Convention de Budapest (sur la cybercriminalité) ou sur le projet de la Commission « E-evidence ».
Il a également élaboré des lignes directrices sur des sujets clés comme le champ d’application territorial du RGPD, la vidéosurveillance, les véhicules connectés, le privacy by design ou encore sur les codes de conduite afin de clarifier les procédures et leurs règles de soumission, d’approbation et de publication à la fois au niveau national et européen.
La CNIL a fait partie de l’équipe chargée d’évaluer avec la Commission européenne, la décision d’adéquation « Bouclier de protection de la vie privée » (Privacy Shield) dont le rapport a été adopté par le Comité en novembre 2019
Source : rapport de la CNIL
Et vous ?
Que pensez-vous de ces statistiques ? 
