La Cnil enregistre une année d’activité record

La Cnil a présenté son rapport annuel d’activité à la presse le 15 avril dernier. Elle enregistre des progressions spectaculaires dans toutes ses activités. L’entrée en application du RGPD n’est évidemment pas étrangère à ce phénomène, mais il faut aussi y voir la marque d’un intérêt croissant des citoyens pour la protection de leurs données personnelles.

Si la Cnil était une entreprise commerciale, la croissance de ses chiffres d’activité annuels aurait de quoi faire rêver les investisseurs ! Ainsi, elle a enregistré 11 177 plaintes en 2018, ce qui représente une progression de 32 % par rapport à l’année précédente, étant précisé que 2017 était déjà une année record. Ce chiffre ne concerne que les formulaires de plainte ; il n’inclut pas l’ensemble des signalements qui lui sont adressés, la Cnil n’ayant pour l’instant pas les moyens de les traiter. Cette augmentation s’explique par la médiatisation du RGPD qui a attiré l’attention des citoyens sur la question des données personnelles. Mais c’est aussi la conséquence des nouvelles obligations d’information imposées aux entreprises sur leur politique de confidentialité qui ont incité les personnes à faire valoir leurs droits.

Vidéosurveillance dans les services de soins

Si le volume de plaintes est inédit, les motifs quant à eux sont toujours les mêmes. Un tiers concerne la protection des données personnelles sur internet (déréférencement, demandes de suppression de données sur des blogs, sites, réseaux sociaux…). Viennent ensuite les fichiers de prospection commerciale, les plaintes concernant les ressources humaines, en particulier sur des questions de vidéosurveillance, ainsi que les inscriptions sur les fichiers banque de France que la Cnil estime encore beaucoup trop nombreuses. Toutefois, de nouveaux sujets ont émergé en 2018. Ils concernent la vidéosurveillance dans les espaces de soins et les EPHAD, le droit à la portabilité institué par le RGPD ou encore les questions de sécurité des données suite à des actes de piratage. Les autres chiffres d’activités connaissent également des croissances spectaculaires. Ainsi, l’an dernier la Cnil a répondu à 120 demandes d’avis ce qui démontre, a souligné la nouvelle présidente Marie-Laure Denis, que le thème de la protection des données est devenu transversal et concerne de nombreuses réformes. La Cnil a aussi été auditionnée à 30 reprises par le Parlement. La Commission a par ailleurs reçu 190 000 appels (+ 22 %) et son site a été consulté par 280 000 personnes. En application du RGPD, la Cnil a reçu 1 170 notifications de violations de données, dont plus de 1 000 portaient sur des violations de confidentialité, 100 notifications concernaient des atteintes à la disponibilité (les données sont intègres mais non accessibles) les 70 restantes correspondant à des atteintes à l’intégrité (les données ont été modifiées). La moitié des notifications ont pour origine des actes de malveillance externe, mais il est à noter que 17 % sont le fait de ce que la Cnil appelle de « l’interne accidentel », autrement dit une erreur d’un collaborateur. Il s’agit par exemple de l’envoi d’un fichier à une mauvaise personne ou de la publication involontaire d’une information confidentielle. La Cnil lorsqu’elle reçoit une notification de cette sorte n’est pas dans une logique de sanction. Elle s’emploie à accompagner l’entreprise dans la recherche de solutions, elle peut aussi analyser les risques. « Les entreprises sont très à l’écoute et demandeuses d’aide, nous n’avons délivré qu’une seule mise en demeure », a précisé Marie-Laure Denis « notre but est d’augmenter le niveau de sécurité global des personnes ». 

Alerte sur les données de santé

Outre ce pic d’activité lié au RGPD, les activités plus traditionnelles de la Cnil sont aussi en croissance. Ainsi, la Commission a traité 4 264 demandes d’accès indirect à des fichiers. Par ailleurs, elle a diligenté 310 contrôles sur la sécurité des données, la surveillance des usages sur la voie publique et l’utilisation des services en ligne au quotidien. Au chapitre des bonnes surprises, les contrôles menés dans les agences immobilières ont montré que celles-ci connaissaient la liste limitative des documents qu’elles sont autorisées à demander (décret de 2016) et qu’elles respectent ces règles. La Cnil n’a pas trouvé de documents interdits dans les dossiers qu’elle a contrôlés. En revanche, dans d’autres secteurs, les constats sont plus inquiétants. Ainsi, les contrôles ont montré que les sociétés d’assurance ne recueillent pas de manière satisfaisante le consentement exprès des personnes pour le traitement de leurs données de santé et, par ailleurs, conservent celles-ci trop longtemps. En revanche, la Cnil a adressé deux mises en demeure publiques à des écoles d’ingénieurs car elles filmaient en permanence les espaces de travail des étudiants, du personnel ainsi que la cafétéria, sans que les personnes soient informées, ni l’accès aux images suffisamment sécurisé. « Est excessif tout système de vidéosurveillance plaçant des salariés ou des étudiants sous surveillance constante », a rappelé la Commission. Elle s’est également penchée sur le stationnement payant et les dispositifs de lecture automatique des plaques utilisées par les sociétés privées, mais l’étude n’est pas encore achevée. Sur les 48 mises en demeure prononcées en 2018, 13 ont été rendues publiques ce qui est un chiffre en augmentation. La Cnil a par ailleurs pris 11 décisions de sanction, dont 10 sanctions pécuniaires, un avertissement et un non-lieu. Parmi les décisions les plus notables, Darty a été sanctionné à hauteur de 100 000 € en janvier 2018 pour ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente. Le 7 juin, c’était au tour d’Optical Center de se voir infliger 250 000 € concernant la sécurité des données de ses clients effectuant une commande en ligne à partir de son site internet. La plus importante amende – 400 000 € – a été prononcée à l’encontre de Uber le 20 décembre 2018 pour avoir insuffisamment sécurisé les données des utilisateurs de son service de VTC. Enfin, le 27 décembre la Cnil a prononcé une sanction de 250 000 € à l’encontre de la société Bouygues Telecom en raison de l’insuffisante sécurisation de ses clients B&You. En application du RGPD, les nouveaux plafonds de sanction s’élèvent à 20 millions d’euros ou 4 % du chiffres d’affaires mondial en cas de non-respect du RGPD et 10 millions ou 2 % du chiffre d’affaires mondial en cas de non-respect des obligations du responsables des données ou du sous-traitant ou du non-respect des obligations incombant à l’organisme de certification.

Évoquant les priorités pour 2019, Marie-Laure Denis a indiqué que l’accent allait bien entendu être mis sur la mise en œuvre effective du RGPD « pour rehausser le niveau de confiance dans l’économie numérique ». Elle a annoncé que la Cnil allait amplifier l’accompagnement public et privé, en portant une attention particulière aux collectivités locales qui vont se voir proposer un guide. La Cnil prévoit également un programme d’accompagnement spécifique des starts-up car si celles-ci sont très en pointe technologiquement, elles sont souvent bien moins aguerries en matière juridique. La Cnil va donc poursuivre l’organisation d’ateliers à leur intention et va les accompagner notamment sur la sécurité qui constitue l’un de leurs points faibles. C’est « la fin d’une certaine forme de tolérance » en matière d’application du RGPD, a précisé la présidente qui a toutefois tempéré son propos en précisant que le respect des exigences de la réglementation européenne serait contrôlé avec discernement, en tenant compte de la gravité de la faute, de la taille de l’entreprise et de son niveau de coopération. « Notre but est que les entreprises se mettent en conformité en leur montrant qu’elles y ont intérêt », a-t-elle souligné.