Marie-Laure Denis, nouvelle présidente de la CNIL, a présenté un rapport d'activité de l'autorité administrative indépendante 2018 marqué par l'application du RGPD. La CNIL répond au public, qu’il s’agisse des professionnels ou des particuliers, mène des actions de communication et s’investit particulièrement en matière d’éducation au numérique. Elle est également présente dans la presse, sur internet, sur les réseaux sociaux où elle met à disposition des outils pédagogiques et pratiques adaptés aux publics variés auxquels elle s’adresse.La CNIL a été très sollicitée en 2018, notamment par les professionnels, à l’occasion de l’entrée en application du Règlement général sur la protection des données (RGPD). Le record de demandes reçues témoigne de l’intérêt des professionnels et de la sensibilité croissante des particuliers, mais aussi du fait qu’ils identifient la CNIL comme une source de référence.
Le travail fourni par les équipes s’est étendu au niveau national, mais aussi au niveau européen et international. Si le mandat de la présidence du G29 (Groupe des CNIL européennes jusqu’au 25 mai 2018) a pris fin en février 2018, la CNIL a été très investie pendant les quatre années de cette présidence avec une feuille de route ambitieuse fixant un cap pour que les autorités de protection soient en ordre de marche le 25 mai.
La CNIL, qui présidait la conférence internationale a aussi beaucoup œuvré en 2018 pour dessiner le futur de cette conférence, en posant les bases d’une organisation internationale permanente de la protection des données et en proposant une position commune sur l’intelligence artificielle.
Concernant l’entrée en application du RGPD, la CNIL a été sur tous les fronts, mais de façon séquencée et articulée avec le calendrier européen fixé par le G29.
Elle a d’abord contribué activement à l’élaboration des lignes directrices du G29, dont elle a été rapporteuse pour plusieurs d’entre elles. Elle a intégré la coopération européenne dans le travail quotidien de la CNIL, notamment dans le cadre de l’instruction de plaintes transfrontalières.
2018 en chiffres
La CNIL a reçu plus de 11 000 plaintes et cette tendance à la hausse (+32 %) est confirmée sur les premiers mois de l’année 2019. Cette augmentation s’explique par une médiatisation importante du RGPD et une plus grande sensibilité aux questions de protection des données. En effet, selon un sondage IFOP réalisé en octobre pour la CNIL, 66 % des Français se disent plus sensibles que ces dernières années à la protection de leurs données personnelles. La CNIL doit faire face à ces flux toujours plus nombreux de plaintes. 20 % d’entre elles environ font désormais l’objet d’une coopération européenne.
Sur ces 11077, plus de 85 % sont recevables et transmises pour instruction au service des plaintes. Le solde correspond en général à des cas où la CNIL n'est pas compétente, soit que le sujet n'est pas de son ressort, soit que le responsable du traitement n'a pas été préalablement saisi. « Mais les plaintes sont généralement fondées » mentionne la CNIL. Les plaintes correspondant à des personnes qui s'inscrivent volontairement dans un fichier pour recevoir des avantages et contestent ensuite l'usage de leurs données sont donc très marginales. En général suite aux plaintes, 204 contrôles sur place ont été opérés, 51 en ligne et 51 sur pièce avec 4 auditions. Ces contrôles ont débouché sur 49 mises en demeure de mises en conformité, 11 sanctions, dont 9 publiques. Les procédures sont de plus en plus européennes : 858 procédures sont en cours au niveau européen, 609 concernant la CNIL qui est cheffe de file dans 40 cas. Les autorités homologues de l'Allemagne, de l'Irlande et du Luxembourg forment le quarté de tête avec la CNIL.
Du côté des professionnels, la CNIL a reçu plus de 1 000 notifications de violations de données et la désignation de 16 000 délégués (DPO) représentant 39 500 organismes. Le nombre des visites du site de la CNIL, d’appels téléphoniques ou de consultations des questions/réponses disponibles en ligne (+ 59 %) enregistre une hausse très importante qui s’explique par le besoin d’information sur le RGPD et par l’identification de la CNIL comme la source de référence en la matière.
Comment les plaintes sont-elles traitées ?
Pour les plaintes les plus simples, la CNIL rappelle aux citoyens leurs droits, où trouver les informations dédiées à ces droits et comment les exercer et aux responsables de fichiers leurs obligations. Pour exercer ses droits, la personne doit d’abord s’adresser au responsable du fichier ou au Délégué à la protection des données (DPO) s’il y en a. Ce n’est qu’en cas de refus ou d’absence de réponse dans un délai d’un mois que la CNIL peut intervenir.
Pour les plaintes plus complexes (soit plus de 9000), la CNIL intervient auprès du responsable du fichier mis en cause, par écrit, pour l’interroger sur les conditions de mise en œuvre de son traitement de données, lui rappeler ses obligations et demander le respect des droits des personnes. Ces plaintes peuvent également donner lieu à un contrôle sur place et dans des cas plus rares à une mesure correctrice (mise en demeure, injonction, sanction pécuniaires etc.).
Lorsque les traitements de données personnelles sont transfrontaliers au sein de l’Union Européenne, les plaintes sont désormais traitées en coopération avec les autorités de protection de données des autres pays concernés. 20% des plaintes environ font désormais l’objet d’une coopération européenne
35,7% des plaintes concernent la diffusion de données sur internet. Les personnes demandent de supprimer des données sur internet (nom, prénom, coordonnées, commentaires,
photographies, vidéos, comptes, etc.). Ces plaintes traduisent les difficultés rencontrées par les personnes pour maitriser leur vie numérique, et notamment leur réputation en ligne. Dans la majorité des cas, les personnes s’adressent à la CNIL car elles n’ont pas obtenu de réponse de la part de l’organisme ou de la personne à l’origine de la diffusion de l’information, qu’il n’existe pas de procédure en ligne, qu’elles ont reçu un refus non motivé de la part de l’organisme ou enfin que l’information erronée a été dupliquée à de nombreuses reprises.
21% des plaintes concernent le secteur marketing/commerce. La CNIL a constaté une très forte hausse des plaintes concernant la prospection par SMS. Les personnes se plaignent de recevoir des
sollicitations sans que leur consentement préalable n’ait été recueilli et que l’envoi de « STOP » à l’expéditeur fasse cesser la réception de publicités. La publicité par courrier électronique reste une
source importante de plaintes. Le travail mené en lien avec l’association « Signal Spam » devra porter ses fruits dans les mois à venir, notamment en raison des nouveaux pouvoirs de la CNIL créés par le RGPD et la nouvelle loi Informatique et Libertés.
Les autres secteurs concernés par les plaintes sont :
- les ressources humaines (16,5%) : vidéosurveillance excessive, géolocalisation, refus de communication du dossier professionnel) ; Ces demandes proviennent de salariés, de syndicats ou
d’inspecteurs du travail. - la banque et le crédit (8,9%) : absence de levée de l’inscription au Fichier national des Incidents de remboursement des Crédits aux Particuliers ou fichier central des chèques et cartes bancaires ;
- le secteur santé et social (4,2%) : difficultés à accéder au dossier médical ou social, Pôle emploi. Depuis la sanction de 10 000€ prononcée en 2017 à l’encontre d’un professionnel de santé, une
amélioration des pratiques est perceptible puisque le nombre de plaintes relatives au droit d’accès au dossier médical a baissé de près de 30% par rapport à 2017.
[B][SIZE=3]Droit d'accès[/size=3]...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
