La Cnil au défi du RGPD

La Cnil a présenté son rapport annuel d’activité à la presse le 10 avril dernier. Alors qu’elle a fêté en janvier son 40e anniversaire, la Commission a franchi pour la première fois le seuil des 8 000 plaintes annuelles. Depuis plusieurs mois elle se mobilise afin de faciliter la mise en place du règlement général sur la protection des données (RGPD) le 25 mai prochain.

Pour la Cnil, les années se suivent et se ressemblent en termes de croissance d’activité. En 2017, elle a reçu 8 360 plaintes, ce qui représente une augmentation de 44 % en trois ans. Cette explosion est une mauvaise nouvelle pour la Commission qui doit encaisser le choc de ce surcroit d’activité, mais elle signifie aussi, et c’est l’aspect positif, une sensibilisation croissante des personnes à l’égard de l’utilisation de leurs données. La part la plus importante des plaintes (27 %) concerne la diffusion des données personnelles sur internet. Les personnes qui saisissent la Cnil ont souvent réclamé en vain la modification ou la suppression de données sur internet et s’adressent à la Commission pour trouver de l’aide. La Cnil souligne qu’elle a reçu en particulier 335 demandes de déréférencement à la suite de refus de la part des moteurs de recherche et a obtenu — quand elle a jugé légitime d’intervenir —, satisfaction dans 75 % des cas. Le deuxième motif de plaintes (25 %) concerne la prospection commerciale par mail, courrier ou téléphone. Autre domaine qui suscite un flux important de dossiers, les ressources humaines (16 %). Les salariés se plaignent d’abus en matière de vidéosurveillance, géolocalisation ou encore refus de communication du dossier professionnel… La banque et le crédit représentent 12 % des plaintes, cela vise notamment l’absence de levée d’inscription au fichier des incidents de remboursement. Enfin, il faut signaler le secteur de la santé et du social (8 %) pour des difficultés par exemple d’accès au dossier médical ou social. Parmi les tendances émergentes qui devraient monter en puissance : les objets connectés, la vidéoprotection, la messagerie professionnelle des salariés, ou encore le dispositif de lecture automatisée de plaque d’immatriculation…

Une amende de 150 000 euros infligée à Facebook

Au titre de son activité répressive, en 2017, la Cnil a mené 341 contrôles qui ont débouché sur 79 mises en demeure et 14 sanctions, dont 9 sanctions pécuniaires et 5 avertissements. Parmi les sanctions notables, il faut évoquer la décision du 23 mars 2017 au terme de laquelle la Cnil a infligé une amende de 150 000 euros à Facebook pour avoir procédé à une combinaison massive des données d’utilisateurs aux fins de cibler de la publicité, sans avoir informé les internautes de cette collecte, ni les avoir renseignés sur leurs droits. Toujours au chapitre du bilan d’activité, la Commission indique avoir reçu en 2017 plus de 4 000 demande de droit d’accès indirect qui ont donné lieu à plus de 8 000 vérifications, dont 49 % ont porté sur le fichier TAJ des antécédents judiciaires de la police et de la gendarmerie. La Cnil s’attend à un nombre croissant de demandes à ce titre en raison de « l’élargissement constant du périmètre des enquêtes administratives ». Elle a aussi comptabilisé 155 000 appels et 14 701 requêtes sur sa plate-forme « besoin d’aide ». Enfin, au titre de 2017, la Cnil a rendu 4 124 décisions et délibérations dont 177 avis portant sur les impôts (modalités du prélèvement à la source), la santé (agrément des hébergeurs de données de santé), la régulation du numérique, et la sécurité…

Le taux de croissance à deux chiffres de toutes les activités de la Commission pose de façon de plus en plus pressante la question des moyens alloués à celle-ci. Pour l’heure, la Cnil bénéficie d’un budget annuel de 17 millions d’euros et de 198 emplois dont 36 % de juristes et 14 % d’ingénieurs. « Tous les métiers de la Cnil craquent dans leurs habits trop étroits », alerte la présidente Isabelle Falque-Pierrotin. Les plaintes, qui ont augmenté de 40 %, sont traitées par 17 personnes, les décisions dont le nombre a bondi de 20 % sont gérées par 36 collaborateurs tandis que 7 personnes seulement sont en charge des 18 000 CIL (correspondants informatique et libertés).

RGPD : une épreuve de vérité collective

Sans surprise, le dossier phare du moment est celui du règlement général sur la protection des données (RGPD) du 27 avril 2016 qui crée un nouveau cadre européen applicable à compter du 25 mai prochain. La nouvelle philosophie de la protection des données en Europe se fonde sur la responsabilisation des acteurs qui ne sont plus soumis à un système de formalités préalables mais à un contrôle continu de conformité tout au long de la vie de la donnée. Le régulateur pourra désormais infliger des amendes beaucoup plus élevées : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires. Par ailleurs, le règlement renforce les droits des personnes en créant par exemple le droit à la portabilité des données. Enfin, il instaure une coopération entre les autorités nationales dans les dossiers transfrontières. La présidente a regretté que cette réforme européenne capitale ait été présentée de façon biaisée dans les médias. Elle a dénoncé un « marketing de la peur », consistant à exagérer la complexité du texte et les difficultés des entreprises à se mettre en conformité avec ses dispositions. « Le RGPD est une chance pour l’Europe », a souligné Isabelle Falque-Pierrotin, c’est une réponse opérationnelle à la crise de confiance autour des données et c’est aussi une remise à égalité de concurrence entre les acteurs européens et étrangers. L’Europe doit faire la démonstration non seulement que ses principes éthiques sont bons mais que le nouveau dispositif est efficient, qu’il apporte les garanties que les personnes sont en droit d’attendre. Si nous y arrivons nous aurons défini un standard mondial, c’est une épreuve de vérité collective ».

Pour assurer le succès de sa mise en œuvre en France, la Cnil a mené depuis 2016 une politique pédagogique auprès des acteurs concernés et notamment des PME/PMI en leur proposant des aides sous forme de fiches pratiques ou encore de logiciel d’étude d’impact. Au niveau européen, elle a également travaillé pour contribuer à ce que les principaux concepts du texte fassent l’objet d’une interprétation identique. Enfin, elle a accompli elle aussi des efforts d’organisation en interne.

Il reste toutefois une inconnue. La loi de transposition du paquet européen de protection des données qui adapte la loi du 6 janvier 1978 à la nouvelle réglementation européenne est en cours d’examen au Parlement. La présidente a qualifié « d’extrêmement préoccupant » l’échec de la commission mixte paritaire intervenu en mars dernier. « La loi doit être finalisée avant le 25 mai, sinon la Cnil sera handicapée dans les dossiers transfrontières dans le cadre du nouveau dispositif européen issu du RGPD », a-t-elle souligné.

Parmi les chantiers pour 2018, Isabelle Falque-Pierrotin a annoncé qu’au vu des nouveaux montants de sanctions encourues au titre du RGPD la Cnil allait « se mettre en capacité de fournir aux acteurs français des outils de sécurisation de leur situation ». Elle va également travailler sur plusieurs chantiers dont l’intelligence artificielle car la loi pour la République numérique du 7 octobre 2016 lui a confié la mission de conduire une réflexion sur les enjeux éthiques et les questions de société soulevées par l’évolution des technologies numériques. Elle s’est penchée dès janvier 2017 sur l’IA et a présenté le 15 décembre un rapport de synthèse. Deux principes fondateurs se dégagent. Le premier est un principe de loyauté qui s’impose à l’algorithme : il doit faire primer l’intérêt de l’utilisateur. Le deuxième est un principe de vigilance/réflexivité : il s’agit d’organiser une forme de questionnement régulier à l’égard de ces objets mouvants, autrement dit, il faut les soumettre à une réflexion permanente. En 2018, la Cnil a décidé de porter son attention sur le design, autrement dit l’ergonomie des services proposés aux consommateurs. Cela vise par exemple les vidéos qui se déclenchent automatiquement, ou encore les notifications intempestives. La Cnil entend s’assurer que le consommateur conserve sa capacité de décision. Elle a annoncé par ailleurs la sortie fin 2018 d’un ouvrage dédié à la protection des données des enfants.