CNIL : une année 2018 marquée par le RGPD

Les Français sont, en outre, de plus en plus sensibles à ces questions (70 % contre 65 %). Conséquences, le nombre des plaintes au sens strict reçues par la CNIL a bondi de plus de 30 %, pour s’établir à 11 077 en 2018. Ce chiffre n’englobe ni les signalements, ni les mails ou courriers provenant de correspondants « en colère » contre certaines pratiques douteuses qu’ils auraient pu subir. Quant au nombre de personnes éventuellement concernées par ces plaintes, elles seraient entre 30 et 50 millions, sachant que ces personnes ne sont pas forcément françaises, ni forcément uniques.

Des abus de toute sorte

Un tiers de ces plaintes ont un lien avec la réputation en ligne (demandes de déréférencement, de suppression de contenus sur les blogs ou réseaux sociaux…). Viennent ensuite celles concernant la prospection commerciale (21 %), les ressources humaines (systèmes de vidéo dans les entreprises, par exemple) et la banque. La moitié des situations dénoncées ont pour origine une cause malveillante extérieure (des cyber attaques, des agressions de type rançonnage des modifications de données, telles que des notes d’examens d’étudiants !). Ceci n’empêche pas l’émergence de nouveaux types d’abus en la matière, touchant par exemple à des dispositifs installés dans certains EHPAD (établissement d'hébergement pour personnes âgées dépendantes), à la surveillance à distance des employés, au piratage de données personnelles ou à des systèmes vidéo déployés dans des unités de soins. À ce rythme-là, prédit Marie-Laure Denis, 2019 devrait battre de nouveaux records !

L’accompagnement, le contrôle et le RGPD

Pour autant, la CNIL ne s’est pas limitée à traiter les plaintes, loin de là ! Elle a ainsi rendu 120 avis, adressé 49 mises en demeure et prononcé 11 sanctions, dont 9 pécuniaires, essentiellement pour des défauts de sécurité, le tout sans oublier quelque 204 contrôles effectués sur place et 51 autres en ligne. En relation avec le RGPD, la CNIL a enregistré la désignation de 16 00 délégués à la protection des données (DPO pour Data Protection Officer). Ceci porte à 18 000 de nombre de DPO, représentant 51 000 organismes, car près de 700 structures offrent un service de délégué externalisé.

Dans ce contexte effervescent, la CNIL rappelle avoir lancé, en mars, « L’atelier RGPD », un mooc – avec attestation de suivi, le cas échéant - dédié à ce sujet ; il comptait presque 27 000 comptes en un mois. L’accompagnement, commentent ses responsables, est une des missions de la CNIL, tout comme la coopération européenne avec notamment les autres autorités équivalentes existant au sein de l’Union : sur les 858 procédures en cours, plus de 600 concernent la CNIL. Celle-ci devrait bientôt publier sa feuille de route stratégique jusqu’en 2021. En attendant, les principaux enjeux pour 2019 sont clairement identifiés, au nombre de trois. Il y a ainsi la poursuite (et la réussite) de la mise en œuvre du RGPD, afin notamment de « rehausser le niveau de confiance dans l’économie numérique », indispensable à son fonctionnement. L’autorité compte également approfondir son expertise sur des sujet tels que les plateformes numériques par lesquels se dessine la problématique des assistants personnels, du Cloud… Enfin, il s’agira aussi, pour elle, de « continuer à peser sur les discussions internationales ».

Des initiatives envers les collectivités

À l’échelle de la France, la CNIL entend également mener des actions d’accompagnement en direction des collectivités. On se rappelle que deux initiatives récemment menées à Nice et à Saint-Etienne ont pu poser des questions. À Nice, il s’agissait de tester un système de reconnaissance faciale par vidéo lors du carnaval. À Saint-Etienne, l’expérimentation consiste à déployer une cinquantaine de micros pour détecter les bruits anormaux. Toutes deux dans un but de sécurité. Concernant Nice, la CNIL tempère les éventuelles inquiétudes : elle répond en substance qu’elle a été consultée, que la population a été informée, que les piétons pouvaient emprunter une file spéciale hors du champ des caméras et que des garanties ont été apportées sur la conservation des données. Quant à Saint-Etienne, la CNIL explique n’avoir pas encore été en contact avec la ville sur cette opération.

Quoi qu’il en soit, un « Guide mode d’emploi RGPD » doit sortir à l’intention des agents territoriaux avant l’été et une brique supplémentaire sera intégrée au mooc de la CNIL, dédiée aux « problématiques des collectivités territoriales ».