CNIL : une année 2018 marquée par le RGPD

Marie-Laure Denis
Le 16 avril 2019

« Une année de tous les records » : c’est en ces termes que Marie-Laure Denis, a résumé, le 15 avril dernier, le rapport d’activité 2018 de la CNIL, institution qu’elle préside. Un constat pas vraiment étonnant dans la mesure où le « fameux » RGPD (Règlement général sur la protection des données), « évènement majeur dans le monde de la protection des données », est entré en vigueur le 25 mai dernier. La nouvelle présidente de la CNIL en a profité pour annoncer la fin d'une certaine forme de tolérance liée à la transition en matière de RGPD. D'ici l'été, un guide pratique sur la protection des données personnelles à l’attention des collectivités locales va être également publié.

Les Français sont, en outre, de plus en plus sensibles à ces questions (70 % contre 65 %). Conséquences, le nombre des plaintes au sens strict reçues par la CNIL a bondi de plus de 30 %, pour s’établir à 11 077 en 2018. Ce chiffre n’englobe ni les signalements, ni les mails ou courriers provenant de correspondants « en colère » contre certaines pratiques douteuses qu’ils auraient pu subir. Quant au nombre de personnes éventuellement concernées par ces plaintes, elles seraient entre 30 et 50 millions, sachant que ces personnes ne sont pas forcément françaises, ni forcément uniques.

Des abus de toute sorte

Un tiers de ces plaintes ont un lien avec la réputation en ligne (demandes de déréférencement, de suppression de contenus sur les blogs ou réseaux sociaux…). Viennent ensuite celles concernant la prospection commerciale (21 %), les ressources humaines (systèmes de vidéo dans les entreprises, par exemple) et la banque. La moitié des situations dénoncées ont pour origine une cause malveillante extérieure (des cyber attaques, des agressions de type rançonnage des modifications de données, telles que des notes d’examens d’étudiants !). Ceci n’empêche pas l’émergence de nouveaux types d’abus en la matière, touchant par exemple à des dispositifs installés dans certains EHPAD (établissement d'hébergement pour personnes âgées dépendantes), à la surveillance à distance des employés, au piratage de données personnelles ou à des systèmes vidéo déployés dans des unités de soins. À ce rythme-là, prédit Marie-Laure Denis, 2019 devrait battre de nouveaux records !

L’accompagnement, le contrôle et le RGPD

Pour autant, la CNIL ne s’est pas limitée à traiter les plaintes, loin de là ! Elle a ainsi rendu 120 avis, adressé 49 mises en demeure et prononcé 11 sanctions, dont 9 pécuniaires, essentiellement pour des défauts de sécurité, le tout sans oublier quelque 204 contrôles effectués sur place et 51 autres en ligne. En relation avec le RGPD, la CNIL a enregistré la désignation de 16 00 délégués à la protection des données (DPO pour Data Protection Officer). Ceci porte à 18 000 de nombre de DPO, représentant 51 000 organismes, car près de 700 structures offrent un service de délégué externalisé.

Dans ce contexte effervescent, la CNIL rappelle avoir lancé, en mars, « L’atelier RGPD », un mooc – avec attestation de suivi, le cas échéant - dédié à ce sujet ; il comptait presque 27 000 comptes en un mois. L’accompagnement, commentent ses responsables, est une des missions de la CNIL, tout comme la coopération européenne avec notamment les autres autorités équivalentes existant au sein de l’Union : sur les 858 procédures en cours, plus de 600 concernent la CNIL. Celle-ci devrait bientôt publier sa feuille de route stratégique jusqu’en 2021. En attendant, les principaux enjeux pour 2019 sont clairement identifiés, au nombre de trois. Il y a ainsi la poursuite (et la réussite) de la mise en œuvre du RGPD, afin notamment de « rehausser le niveau de confiance dans l’économie numérique », indispensable à son fonctionnement. L’autorité compte également approfondir son expertise sur des sujet tels que les plateformes numériques par lesquels se dessine la problématique des assistants personnels, du Cloud… Enfin, il s’agira aussi, pour elle, de « continuer à peser sur les discussions internationales ».

Des initiatives envers les collectivités

À l’échelle de la France, la CNIL entend également mener des actions d’accompagnement en direction des collectivités. On se rappelle que deux initiatives récemment menées à Nice et à Saint-Etienne ont pu poser des questions. À Nice, il s’agissait de tester un système de reconnaissance faciale par vidéo lors du carnaval. À Saint-Etienne, l’expérimentation consiste à déployer une cinquantaine de micros pour détecter les bruits anormaux. Toutes deux dans un but de sécurité. Concernant Nice, la CNIL tempère les éventuelles inquiétudes : elle répond en substance qu’elle a été consultée, que la population a été informée, que les piétons pouvaient emprunter une file spéciale hors du champ des caméras et que des garanties ont été apportées sur la conservation des données. Quant à Saint-Etienne, la CNIL explique n’avoir pas encore été en contact avec la ville sur cette opération.

Quoi qu’il en soit, un « Guide mode d’emploi RGPD » doit sortir à l’intention des agents territoriaux avant l’été et une brique supplémentaire sera intégrée au mooc de la CNIL, dédiée aux « problématiques des collectivités territoriales ».

Une forte hausse des plaintes liées au RGPD

La CNIL a reçu un nombre record de 11 077 plaintes en 2018 (+32,5% par rapport à 2017), selon son rapport annuel.

Ces plaintes portent sur  :

  • la diffusion de données sur internet (373 demandes de déréférencement, droit désormais consacré par le RGPD.) Il s’agit pour les personnes de demander la suppression de données les concernant sur internet (nom, prénom, coordonnées, commentaires, photographies, vidéos, comptes, etc.) Ces plaintes traduisent les difficultés rencontrées par les personnes pour  maitriser leur vie numérique, et notamment leur réputation en ligne : 35,7% ;
  • le secteur marketing/commerce : 21% ;
  • les ressources humaines : 16,5% ;
  • la banque et le crédit : 8,9% ;
  • le secteur santé et social : 4,2%.

La CNIL a observé plusieurs tendances émergentes :

  • Le visionnage à distance des images issues des dispositifs vidéo ;
  • L’installation de caméras dans des unités de soin ;
  • Le souhait des clients de banques ou de services en ligne de contenus d’utiliser leur droit à la portabilité de leurs données ;
  • Une sensibilité accrue des citoyens concernant la sécurité de leurs données personnelles dans tous les secteurs ;
  • Des craintes d’utilisateurs d’ordiphone concernant les données auxquelles les applications mobiles peuvent avoir accès.

Source : 39e rapport annuel 2018