La CNIL vient de publier son quarantième rapport d’activité, le second de l’ère RGPD. Il témoigne de la préoccupation croissante des Français autour de la protection de la vie privée et des données.

En 2019, l’autorité française de régulation de l’usage de l’informatique et du respect des libertés numériques a reçu 14 137 plaintes, soit une hausse de 27% en un an, et une hausse encore plus significative de 79% en cinq ans. 34% des plaintes concernent l’univers des fournisseurs de services Internet et Télécom.

Pas de doute, les Français se sentent de plus en plus concernés par les usages qui sont faits de leurs données privées et par les pratiques des entreprises pour les protéger : 2 287 notifications de violations de données personnelles ont été reçues en 2019. 50 % des violations sont dues à un acte externe malveillant et 23 % sont dues à un acte interne accidentel.

Par ailleurs, près de 15% des plaintes reçues concernent la prospection commerciale, associative ou politique reçue par voie postale, téléphonique ou email.

Des sanctions lourdes

En 2019, plus de 4 200 personnes ont adressé 4 520 courriers (sur papier ou électroniques) à la CNIL afin qu’elle intervienne auprès de gestionnaires de fichiers pour faire valoir leurs droits. La quantité de telles correspondances est relativement stable par rapport à 2018 (6 %). Ces courriers ont donné lieu à 3 573 vérifications effectuées par la CNIL.

En 2019, la CNIL a procédé à 300 contrôles, ce qui peut paraitre finalement assez peu comparé au nombre de plaintes, mais il est probable que l’autorité donne la priorité aux entraves les plus graves et à celles qui regroupent le plus de plaintes. Et finalement « seulement » 8 sanctions ont été prononcées en 2019, mais pour un montant total de 51 370 000 euros !
Signalons au passage que parmi ces amendes, figure celle émise contre Google, de 50 millions d’euros, qui représente la plus forte amende prononcée à ce jour par une autorité de protection des données en Europe.
Parmi les autres amendes ont retiendra la sanction de 400 000 euros contre Sergic pour atteinte à la sécurité des données et non-respect des durées de conservation, celle de 20 000 euros contre Uniontrad company pour vidéosurveillance excessive, celle contre Futura Internationale (500 000 euros) pour démarchage téléphonique illégal ou encore celle à hauteur de 180 000 euros contre Active Assurances pour atteinte à la sécurité des données des clients.

La CNIL note également que « 42 mises en demeure ont été prononcées en 2019, dont 2 publiques, ainsi que 2 rappels à l’ordre et 2 avertissements. Les mises en demeure rendues publiques l’ont été en raison des manquements importants constatés. La moitié des mises en demeure a porté sur le droit au déréférencement, le droit d’opposition ou le droit d’accès. »
Parmi ces mises en demeure on notera celle de « boutique.aero » pour vidéosurveillance excessive des salariés ou encore celle à l’encontre du ministère de l’intérieur concernant les radars-tronçons ! En outre plusieurs établissements scolaires ont aussi reçu des mises en demeure concernant des pratiques de vidéosurveillance jugées excessives.

RGPD, DPO & CNIL

Côté RGPD, on retiendra deux chiffres : 64 900 organismes ont nommé un DPO en 2019 et 42% des DPO sont des femmes.

La CNIL a également réalisé une enquête en 2019 auprès des DPO et de leur rôle dans les entreprises. Il en ressort que :

* les DPO de profils techniques sont les plus nombreux (39 %) ;
* 39,7 % des DPO disposent d’un budget propre ;
* 59 % des DPO estiment que leurs recommandations sont toujours ou souvent écoutées et suivies ;
* 40,3 % des DPO disent être « systématiquement » ou « très souvent » consultés en amont des projets ;
* 24,6 % des DPO externes indiquent ne pas maîtriser pleinement le sujet ;
* 72 % des DPO disent avoir suivi une formation de un à cinq jours ;
* 40 % des DPO estiment que la fonction est stressante.

Et en 2020 ?

En 2020, les grands chantiers de la CNIL portent sur l’utilisation des Cookies et des techniques de traçage sur le Web (avec la refonte de la directive ePrivacy et la publication à venir d’une recommandation autour des cookies et traceurs), sur la reconnaissance faciale et ses usages (qui doivent être encadrés avec des lignes rouges à ne pas dépasser) et les traitements à finalité de recherche scientifique (suite à la consultation publique lancée en 2019).

Autre chantier, le respect du droit à la portabilité. La CNIL rappelle ainsi que « la portabilité est un droit nouveau apparu en 2018 avec le RGPD, qui permet notamment aux personnes de recevoir les données personnelles qu’elles ont fournies à un responsable de traitement, dans un format structuré, couramment utilisé et lisible par machine. Ces données peuvent ensuite être transmises à un autre responsable de traitement, et elles peuvent même être transmises directement d’un responsable de traitement à un autre, lorsque cela est techniquement possible. La portabilité vient ainsi donner corps à la libre circulation de ces données figurant dans le titre du règlement européen. ». Pour l’autorité de régulation, « la portabilité des données personnelles offre de nouvelles perspectives pour les utilisateurs, mais aussi pour des entreprises souhaitant créer des services innovants. »

Enfin, bâtir une protection de la vie privée plus inclusive est une autre des préoccupations de la CNIL. La protection des personnes au quotidien est l’un des axes stratégiques de sa feuille de route 2019-2021. Mais les droits numériques doivent être garantis pour tous, au même niveau, sans exclusion numérique liée aux milieux sociaux, à l’âge ou aux contextes.

Au final force est de constater que le rôle de la CNIL s’est renforcé avec le RGPD. L’institution s’est imposée aux yeux des français et des entreprises qui font désormais plus facilement appel à ses services. Le site de la CNIL, avec ses fiches techniques, ses formulaires et ses nombreux conseils continuent de connaître une audience croissante. Rappelons que le budget alloué à la CNIL en 2019 s’élève à 18 506 734 € en autorisations d’engagement et en crédits de paiement. La CNIL emploie 215 agents.