« Le bilan que je présente est à porter au crédit de la présidente précédente [Isabelle Falque-Pierrotin, NDLR] et de l'ensemble des commissaires et collaborateurs de la CNIL » a averti Marie-Laure Denis, nouvelle présidente de cette autorité administrative indépendante, d'entrée de jeu lors de la conférence de presse de présentation du rapport d'activité 2018. L'année passée a été une année de tous les records. Outre les 40 ans de la CNIL, elle a été marquée par l'application du RGPD (dont la particularité est de s'appliquer de manière extra-territoriale à toutes les données de citoyens européens), d'une loi et d'une ordonnance.
La large communication autour du RGPD a eu de nombreux effets. Déjà, 65 % des Français en ont entendu parler ! Pour Marie-Laure Denis, « les citoyens comme les entreprises ont pris la mesure du changement, même si les professionnels n'ont pas encore compris l'ampleur de la prise de conscience du public. » Ainsi le nombre de plaintes atteint un nouveau record : 11077 en 2018 ! Cela représente un nouveau gain de 32 % par rapport à l'année précédente (8360 plaintes), pourtant déjà une année record. 20 % des plaintes sont transfrontalières (concernant les GAFA par exemple), 7 sont collectives dont 5 dues à la seule Quadrature du Net. 2019 s'annonce d'ores et déjà comme devant écraser le record de 2018.
Toujours plus de plaintes
Sur ces 11077, plus de 85 % sont recevables et transmises pour instruction au service des plaintes. Le solde correspond en général à des cas où la CNIL n'est pas compétente, soit que le sujet n'est pas de son ressort, soit que le responsable du traitement n'a pas été préalablement saisi. « Mais les plaintes sont généralement fondées » mentionne la CNIL. Les plaintes correspondant à des personnes qui s'inscrivent volontairement dans un fichier pour recevoir des avantages et contestent ensuite l'usage de leurs données sont donc très marginales. En général suite aux plaintes, 204 contrôles sur place ont été opérés, 51 en ligne et 51 sur pièce avec 4 auditions. Ces contrôles ont débouché sur 49 mises en demeure de mises en conformité, 11 sanctions dont 9 publiques. Les procédures sont de plus en plus européennes : 858 procédures sont en cours au niveau européen, 609 concernant la CNIL qui est cheffe de file dans 40 cas. Les autorités homologues de l'Allemagne, de l'Irlande et du Luxembourg forment le quarté de tête avec la CNIL.
Les plaintes concernent pour près d'un tiers le chapitre « réputation en ligne », c'est à dire la mention d'un nom sur un site. La prospection commerciale abusive arrive en deuxième (21%), la gestion des ressources humaines suit avec 16,5 % et le secteur bancaire ensuite avec 9 %. Les difficultés liées au secteur bancaire concernent essentiellement les inscriptions abusives dans les fichiers de la Banque de France (mauvais payeurs, etc.) mais une tendance émergente est le non-respect de la portabilité des données. Le sujet des ressources humaines est plus délicat et intègre surtout des plaintes sur la cyber-surveillance et la vidéo-surveillance des salariés. Une consultation publique est actuellement en cours et un référentiel devrait être publié dans quelques mois.
Source d'expertise
La CNIL est, au-delà des plaintes, bien identifiée comme étant une source d'expertise et une ressource d'accompagnement. C'est bien sûr le cas pour les autorités publiques : 120 avis ont été rendus sur les textes (lois, décrets, arrêtés) et 30 auditions ont eu lieu au Parlement. Et c'est aussi le cas pour le grand public comme pour les professionnels : 8 millions de visites sur le site de la CNIL en 2018 (+80 % par rapport à 2017, avec 283 000 consultations de la FAQ, soit +59 % sur ce dernier point), 190 000 appels téléphoniques (+22%), 70 000 abonnés sur Linkedin (triplement)...
Les questions posées par les entreprises sont de plus en plus pointues. Mais la CNIL dégrossit les sujets avec des boîtes à outils en ligne, en particulier à destination des TPE/PME. Le logiciel en open-source pour réaliser une étude d'impact pour un traitement de données personnelles, étude obligatoire dans de nombreux cas, a ainsi été téléchargé dans ses versions en Français et en Anglais 150 000 fois. La communauté a réalisé des traductions en 18 langues supplémentaires. Un point particulier concerne le démarchage agressif pour des « prestations » frauduleuses en rapport avec le RGPD.
Un accompagnement important des entreprises
Suite à la mise en application du RGPD, les CIL (correspondants informatique et liberté) sont devenus les DPD (Délégués à la Protection des Données). Leur présence en entreprises est de plus souvent obligatoire, ce qui n'était pas le cas avant le RGPD. De 5000 CIL, la CNIL pilote désormais un réseau de 18 000 DPD dont 700 structures mutualisées (avocats, conseils...) pour un total de 51 000 organismes. La CNIL anime notamment des collectifs régionaux ou sectoriels. Un point d'attention à venir va être les civictechs, ou start-up facilitant la participation citoyenne. 19 ateliers sont organisés à l'attention des start-ups dans l'espace de la French Tech à Station F. Et une plate-forme en ligne va être prochainement dédiée aux designers pour les aider à réaliser le « privacy by design » en évitant les erreurs basiques.
La CNIL a aussi développé un MOOC ouvert depuis un mois et qui a déjà reçu 27 500 participants (dont 10 % on,t reçu l'attestation de suivi). « Ce MOOC semble correspondre aux attentes de tous les professionnels, au-delà des seuls DPD, et il peut intéresser tout le monde » se réjouit Marie-Laure Denis. Un module dédié va être créé pour les collectivités locales, en plus d'un guide spécifique pour l'application du RGPD et d'une présence au prochain Salon des Maires.
Des violations de données très évitables
Avec le RGPD et l'obligation de notifications des violations de données mais aussi avec les analyses d'impact, « la CNIL est devenu un acteur de la cybersécurité » relève Marie-Laure Denis. Sur les 1170 notifications reçues en 2018, il y a plus de 1000 atteintes à la confidentialité, une centaine d'atteintes à la disponibilité et 70 atteintes à l'intégrité. La plupart des notifications intègre une cause externe malveillante mais 17 % sont des « accidents d'origine interne » (envoi de données à la mauvaise personne, publication involontaire de données...). Dans les causes externes, beaucoup sont facilement évitables : vol de PC portables non-chiffrés, attaques basiques sur des serveurs...
Face aux violations, la CNIL accompagne les entreprises pour vérifier si le problème a été réglé, avec une réponse à l'état de l'art, et analyse les risques pour les personnes concernées avec la nécessité ou non de les informer. En général, les entreprises suivent les recommandations de la CNIL de bonne grâce, une seule mise en demeure ayant été à ce jour nécessaire. Les 1170 notifications correspondent à un cumul de plus de 50 millions de personnes, pas toutes françaises et non-dédupliquées. Quand une mise en demeure est levée, c'est que l'entreprise s'est mise en conformité : une telle évolution ne débouchant sur aucune sanction est positive pour al CNIL car la mise en demeure a un objet d'accompagnement. Mais Marie-Laure Denis a clairement annoncé la couleur pour 2019 : c'est la fin de la tolérance concernant l'application du RGPD même si la CNIL se doit de faire preuve de discernement dans la lourdeur des sanctions. Pour suivre les évolutions technologiques, la CNIL se doit aussi de renforcer son expertise technique. Bien entendu, elle doit poursuivre la « diplomatie des données personnelles » dans le monde et notamment en Europe pour renforcer la protection des données des citoyens européens.
Commentaire