La CNIL a été très sollicitée en 2018, notamment par les professionnels, à l’occasion de l’entrée en application du Règlement général sur la protection des données (RGPD). Le record de demandes reçues témoigne de l’intérêt des professionnels et de la sensibilité croissante des particuliers, mais aussi du fait qu’ils identifient la CNIL comme une source de référence.
Le travail fourni par les équipes s’est étendu au niveau national, mais aussi au niveau européen et international. Si le mandat de la présidence du G29 (Groupe des CNIL européennes jusqu’au 25 mai 2018) a pris fin en février 2018, la CNIL a été très investie pendant les quatre années de cette présidence avec une feuille de route ambitieuse fixant un cap pour que les autorités de protection soient en ordre de marche le 25 mai.
La CNIL, qui présidait la conférence internationale a aussi beaucoup œuvré en 2018 pour dessiner le futur de cette conférence, en posant les bases d’une organisation internationale permanente de la protection des données et en proposant une position commune sur l’intelligence artificielle.
Concernant l’entrée en application du RGPD, la CNIL a été sur tous les fronts, mais de façon séquencée et articulée avec le calendrier européen fixé par le G29.
Elle a d’abord contribué activement à l’élaboration des lignes directrices du G29, dont elle a été rapporteuse pour plusieurs d’entre elles. Elle a intégré la coopération européenne dans le travail quotidien de la CNIL, notamment dans le cadre de l’instruction de plaintes transfrontalières.
2018 en chiffres
La CNIL a reçu plus de 11 000 plaintes et cette tendance à la hausse (+32 %) est confirmée sur les premiers mois de l’année 2019. Cette augmentation s’explique par une médiatisation importante du RGPD et une plus grande sensibilité aux questions de protection des données. En effet, selon un sondage IFOP réalisé en octobre pour la CNIL, 66 % des Français se disent plus sensibles que ces dernières années à la protection de leurs données personnelles. La CNIL doit faire face à ces flux toujours plus nombreux de plaintes. 20 % d’entre elles environ font désormais l’objet d’une coopération européenne.
Sur ces 11077, plus de 85 % sont recevables et transmises pour instruction au service des plaintes. Le solde correspond en général à des cas où la CNIL n'est pas compétente, soit que le sujet n'est pas de son ressort, soit que le responsable du traitement n'a pas été préalablement saisi. « Mais les plaintes sont généralement fondées » mentionne la CNIL. Les plaintes correspondant à des personnes qui s'inscrivent volontairement dans un fichier pour recevoir des avantages et contestent ensuite l'usage de leurs données sont donc très marginales. En général suite aux plaintes, 204 contrôles sur place ont été opérés, 51 en ligne et 51 sur pièce avec 4 auditions. Ces contrôles ont débouché sur 49 mises en demeure de mises en conformité, 11 sanctions, dont 9 publiques. Les procédures sont de plus en plus européennes : 858 procédures sont en cours au niveau européen, 609 concernant la CNIL qui est cheffe de file dans 40 cas. Les autorités homologues de l'Allemagne, de l'Irlande et du Luxembourg forment le quarté de tête avec la CNIL.
Du côté des professionnels, la CNIL a reçu plus de 1 000 notifications de violations de données et la désignation de 16 000 délégués (DPO) représentant 39 500 organismes. Le nombre des visites du site de la CNIL, d’appels téléphoniques ou de consultations des questions/réponses disponibles en ligne (+ 59 %) enregistre une hausse très importante qui s’explique par le besoin d’information sur le RGPD et par l’identification de la CNIL comme la source de référence en la matière.
Comment les plaintes sont-elles traitées ?
Pour les plaintes les plus simples, la CNIL rappelle aux citoyens leurs droits, où trouver les informations dédiées à ces droits et comment les exercer et aux responsables de fichiers leurs obligations. Pour exercer ses droits, la personne doit d’abord s’adresser au responsable du fichier ou au Délégué à la protection des données (DPO) s’il y en a. Ce n’est qu’en cas de refus ou d’absence de réponse dans un délai d’un mois que la CNIL peut intervenir.
Pour les plaintes plus complexes (soit plus de 9000), la CNIL intervient auprès du responsable du fichier mis en cause, par écrit, pour l’interroger sur les conditions de mise en œuvre de son traitement de données, lui rappeler ses obligations et demander le respect des droits des personnes. Ces plaintes peuvent également donner lieu à un contrôle sur place et dans des cas plus rares à une mesure correctrice (mise en demeure, injonction, sanction pécuniaires etc.).
Lorsque les traitements de données personnelles sont transfrontaliers au sein de l’Union Européenne, les plaintes sont désormais traitées en coopération avec les autorités de protection de données des autres pays concernés. 20% des plaintes environ font désormais l’objet d’une coopération européenne
35,7% des plaintes concernent la diffusion de données sur internet. Les personnes demandent de supprimer des données sur internet (nom, prénom, coordonnées, commentaires,
photographies, vidéos, comptes, etc.). Ces plaintes traduisent les difficultés rencontrées par les personnes pour maitriser leur vie numérique, et notamment leur réputation en ligne. Dans la majorité des cas, les personnes s’adressent à la CNIL car elles n’ont pas obtenu de réponse de la part de l’organisme ou de la personne à l’origine de la diffusion de l’information, qu’il n’existe pas de procédure en ligne, qu’elles ont reçu un refus non motivé de la part de l’organisme ou enfin que l’information erronée a été dupliquée à de nombreuses reprises.
21% des plaintes concernent le secteur marketing/commerce. La CNIL a constaté une très forte hausse des plaintes concernant la prospection par SMS. Les personnes se plaignent de recevoir des
sollicitations sans que leur consentement préalable n’ait été recueilli et que l’envoi de « STOP » à l’expéditeur fasse cesser la réception de publicités. La publicité par courrier électronique reste une
source importante de plaintes. Le travail mené en lien avec l’association « Signal Spam » devra porter ses fruits dans les mois à venir, notamment en raison des nouveaux pouvoirs de la CNIL créés par le RGPD et la nouvelle loi Informatique et Libertés.
Les autres secteurs concernés par les plaintes sont :
- les ressources humaines (16,5%) : vidéosurveillance excessive, géolocalisation, refus de communication du dossier professionnel) ; Ces demandes proviennent de salariés, de syndicats ou
d’inspecteurs du travail. - la banque et le crédit (8,9%) : absence de levée de l’inscription au Fichier national des Incidents de remboursement des Crédits aux Particuliers ou fichier central des chèques et cartes bancaires ;
- le secteur santé et social (4,2%) : difficultés à accéder au dossier médical ou social, Pôle emploi. Depuis la sanction de 10 000€ prononcée en 2017 à l’encontre d’un professionnel de santé, une
amélioration des pratiques est perceptible puisque le nombre de plaintes relatives au droit d’accès au dossier médical a baissé de près de 30% par rapport à 2017.
Droit d'accès indirect : modification importante des modalités d’exercice des droits pour certains fichiers
L’année 2018 a été marquée par une évolution majeure dans les modalités d’exercice des droits pour les fichiers relevant du champ de la directive européenne « police-justice », à savoir ceux ayant pour finalité « la prévention et la détection d’infractions pénales, les enquêtes ou poursuites en la matière y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ». Cela concerne un nombre très important de fichiers relevant, à titre principal, du ministère de l’Intérieur.
Auparavant, ces fichiers étaient pour la plupart soumis au principe du « droit d’accès indirect ». Les personnes qui souhaitaient faire vérifier les données les concernant susceptibles d’être enregistrées dans ces fichiers pouvaient adresser une demande à la CNIL, accompagnée d’une copie d’un titre d’identité et, pour les fichiers « police-justice », de tout élément prouvant la restriction du responsable du traitement dans le cadre de l’exercice direct et préalable des droits.
Le nouveau cadre législatif et réglementaire, issu de la loi du 20 juin 2018 relative à la protection des données personnelles et du décret du 1er août 2018 en portant application prévoit désormais, pour les fichiers concernés, le principe de l’exercice direct des droits (accès, rectification, effacement voire limitation) auprès du responsable du traitement, sous réserve des restrictions applicables à chacun d’entre eux qui doivent être définies par le décret les régissant.
La CNIL n’est donc plus en principe l’interlocutrice première des personnes pour la majeure partie des fichiers qui étaient jusqu’à présent soumis au régime du droit d’accès indirect tel que le Traitement d’Antécédents Judiciaires (TAJ) de la police et de la gendarmerie nationales, successeur depuis le 1er janvier 2014 des fichiers STIC et JUDEX.
Toute personne souhaitant exercer ses droits pour les fichiers concernés doit désormais effectuer directement une demande auprès de l’administration gestionnaire. Ce n’est que si, au terme d’un délai de deux mois, ce dernier lui oppose une restriction ou ne lui apporte aucune réponse, qu’elle a alors la possibilité, en deuxième ligne, de saisir la CNIL au titre de l’exercice indirect des droits. Elle peut également engager un recours auprès des juridictions administratives contre la décision de restriction opposée par le responsable du traitement.
L’intelligence artificielle, nouvelle étape de la société numérique
Partout dans le monde, les initiatives et stratégies dédiées à l’intelligence artificielle (IA) se sont multipliées. La CNIL voit dans cette tendance autant la quintessence d’une innovation numérique prolifique, où les données personnelles occupent une place majeure, que la confirmation de l’impératif, quelques mois après l’entrée en application du RGPD, de l’ancrer dans un substrat juridico-éthique exigeant. Après la formulation de propositions à l’issue d’un débat public national multi-acteurs, la CNIL continue à contribuer à la construction de ce nouveau cadre, par des actions de sensibilisation et une participation aux discussions européennes et internationales.
Source : CNIL