La Cnil dresse son bilan annuel
Le 15 avril dernier, la nouvelle présidente de la Cnil en fonction depuis février, Marie-Laure Denis, dressait le bilan d’activité du régulateur pour l’année 2018. L’occasion pour l’ancienne conseillère d’État de revenir sur une année particulière : celle de l’entrée en vigueur du RGPD.
L’essentiel de 2018
2018, une année exceptionnelle pour la CNIL marquée par l’entrée en application du RGPD.
- L’entrée en application du Règlement général sur la protection des données (RGPD) a marqué une prise de conscience inédite des enjeux de protection des données auprès des professionnels et des particuliers.
- Cela s’est traduit par une augmentation considérable des plaintes adressées à la CNIL: « l’année 2018 a été celle du nombre record de plaintes reçues, 11077 contre 8360 en 2017 »
- La CNIL a aussi reçu un afflux de demandes d’information de la part des professionnels souhaitant s’approprier ce nouveau cadre qui l’ont identifiée comme une source d’information de référence.
Ces plaintes portent sur :
- la diffusion de données sur internet (373 demandes de déréférencement, droit désormais consacré par le RGPD.) Il s’agit pour les personnes de demander la suppression de données les concernant sur internet (nom, prénom, coordonnées, commentaires, photographies, vidéos, comptes, etc.) Ces plaintes traduisent les difficultés rencontrées par les personnes pour maîtriser leur vie numérique, et notamment leur réputation en ligne : 35,7% ;
- le secteur marketing/commerce : 21% ;
- les ressources humaines : 16,5% ;
- la banque et le crédit : 8,9% ;
- le secteur santé et social : 4,2%.
La CNIL a observé plusieurs tendances émergentes :
- Le visionnage à distance des images issues des dispositifs vidéo ;
- L’installation de caméras dans des unités de soin ;
- Le souhait des clients de banques ou de services en ligne de contenus d’utiliser leur droit à la portabilité de leurs données ;
- Une sensibilité accrue des citoyens concernant la sécurité de leurs données personnelles dans tous les secteurs ;
- Des craintes d’utilisateurs d’ordiphone concernant les données auxquelles les applications mobiles peuvent avoir accès.
La CNIL aide les professionnels à s’approprier le RGPD
La CNIL : une source d’information de référence pour les professionnels
Les professionnels peuvent s’appuyer sur les nombreux outils de mise en conformité au RGPD proposés par la CNIL et disponible depuis son site (guide TPE/PME ; logiciel AIPD ; formation en ligne MOOC etc.).
« L’effet RGPD », déjà ressenti en 2017, s’est accentué en 2018 :
- 189 877 appels reçus (+22% par rapport à 2017) ;
- 283 742 consultations des Questions/Réponses (+59% par rapport à 2017) ;
- 8 millions de visites sur cnil.fr (+80% par rapport à 2017).
Les nouveaux outils au service de la conformité
- Le délégué à la protection des données (DPO) :
- 51 000 organismes ont désigné un DPO, ce qui représente 18 000 délégués par effet de mutualisation ;
- 1/3 sont des organismes publics ;
- 2 référentiels en matière de certification de DPO adoptés ;
- Les notifications de violations de données au nombre de 1 170 en 2018, dues en très grande majorité à des atteintes à la confidentialité des données.
L’activité répressive au service de la sécurité des données
Les contrôles
La CNIL a réalisé 310 contrôles en 2018, dont :
- 204 contrôles sur place (dont 20 contrôles portant sur des dispositifs vidéo)
- 51 contrôles en ligne
- 51 contrôles sur pièces
- 4 auditions
Les mises en demeure et sanctions
Dans l’immense majorité des cas, la simple intervention de la CNIL se traduit par une mise en conformité de l’organisme.
49 mises en demeure ont été adoptées en 2018. Deux secteurs ont été particulièrement concernés :
- celui des assurances, avec 5 décisions adoptées ;
- celui des entreprises spécialisées dans le ciblage publicitaire par le biais d’une technologie (SDK) installée dans des applications mobiles, avec 4 décisions adoptées. Ces mises en demeure ont toutes fait l’objet d’une clôture.
11 sanctions ont été prononcées par la formation restreinte :
- 10 sanctions pécuniaires (dont 9 publiques et 7 qui concernaient des atteintes à la sécurité des données personnelles.) ;
- 1 avertissement non public ;
- 1 non-lieu.
Les enjeux 2019
Les enjeux 2019 consisteront à réussir la mise en œuvre du RGPD, à approfondir sa capacité d’expertise sur les infrastructures et plateformes numériques et à continuer à peser dans les discussions européennes et internationales.
-
Réussir le RGPD, clé de voûte d’un numérique de confiance
L’année 2019 sera décisive pour crédibiliser le nouveau cadre juridique et transformer cet ambitieux pari européen en succès opérationnel. Les attentes de la société civile et des acteurs économiques sont très fortes et ce modèle suscite des intérêts à travers le monde. La CNIL articulera son action autour de deux axes principaux : la pédagogie et la dissuasion.
L’amplification des actions d’accompagnement :
- La sensibilisation à destination des collectivités
- La préparation des élections européennes et municipales en matière de communication politique
- La publication d’un guide et de fiches pratiques sur l’ouverture des données publiques (open data) avec la CADA
- L’accompagnement des start-ups et de la communauté des designers
- L’élaboration de nouveaux cadres de référence
- Un dialogue étroit avec les professionnels
Le programme des contrôles 2019 :
La CNIL souhaite concentrer cette année son action sur les plaintes et trois grandes thématiques, directement issues de l’entrée en application du RGPD :
- Une stratégie de contrôles centrée sur les plaintes reçues (collectives ou individuelles) pour rester en prise directe avec les attentes des citoyens. Les contrôles porteront notamment sur l’exercice pratique des droits, ce qui représente 73,8% des plaintes reçues.
- Des contrôles sur des grandes thématiques qui concernent tous les secteurs plutôt que sur des traitements : la répartition des responsabilités entre les sous-traitants et les donneurs d’ordre, les données des mineurs (publication de photos, biométrie et vidéosurveillances dans les écoles, recueil du consentement des parents pour les moins de 15 ans).
Une CNIL experte sur les infrastructures et plateformes numériques
Afin de continuer à être un régulateur du numérique efficace et pragmatique, la CNIL doit constamment se réinventer pour être en mesure de toujours maîtriser des sujets supposant une expertise technologique pointue. Dans un contexte d’innovation permanente, il s’agit d’un enjeu majeur pour la CNIL.
Une diplomatie de la donnée personnelle, aux niveaux européen et international
La CNIL entend conserver un rôle moteur au niveau européen en défendant les positions françaises au sein du Comité européen de protection des données (CEPD) notamment dans le cadre des travaux prévus au programme de travail 2019-2020. Elle participera aux initiatives visant à développer une coopération opérationnelle avec ses homologues extra européens et une convergence des principes de protection des données au plan mondial.