La Cnil a rendu public le 15 avril 2019 son bilan d’activité pour l’année 2018, qui restera marquée par l’entrée en application du RGPD.
L’occasion pour sa nouvelle présidente Marie-Laure Denis d’évoquer les enjeux de la Commission en 2019.
2018, année du RGPD
Comme le souligne la Cnil dans son communiqué du même jour, l’entrée en application du RGPD aura marqué une « prise de conscience inédite des enjeux de protection des données auprès des professionnels et des particuliers », qui s’est logiquement traduite par une « augmentation considérable des plaintes adressées à la Cnil, avec une tendance à la hausse qui s’installe ».
2018, une année exceptionnelle
La Cnil justifie ce caractère exceptionnel :
- d’une part, par l’effet médiatique de l’entrée en application effective du RGPD le 25 mai dernier (et, dans la foulée, de la promulgation de la loi du 20 juin 2018 relative à la protection des données personnelles) ;
- d’autre part, par la sensibilité accrue des citoyens sur les enjeux liés à la protection de leurs données : selon un sondage IFOP réalisé en avril pour la Cnil, 70% des Français se disent plus sensibles que ces dernières années à la protection de leurs données personnelles.
Un nombre record de plaintes
Une chose est sûre : 2018 aura été « l’année de tous les records, en nombre de plaintes notamment (+32 %) », la Cnil se félicitant qu’elle soit « clairement identifiée comme une source d’information de référence pour les professionnels et le grand public ».
Un tiers des 11.077 plaintes déposées concerne les données publiées sur internet, 21 % concerne la prospection, puis les RH et les banques. Sans oublier les « nouvelles tendances » :
- le visionnage à distance des images issues des dispositifs vidéo, notamment par l’employeur, pointant un risque de surveillance excessive des employés ;
- l’installation de caméras dans des unités de soin, filmant ainsi des personnes vulnérables pour leur « sécurité » ;
- le souhait des clients de banques ou de services en ligne de contenus d’utiliser leur droit à la portabilité de leurs données ;
- la sécurité de ses données personnelles, et pas seulement sur internet ;
- les craintes quant aux données auxquelles les applications mobiles accèdent dans son smartphone.
Environ 20 % des plaintes font désormais l’objet d’une coopération européenne.
Une activité répressive au service de la sécurité des données
La Cnil a réalisé 310 contrôles en 2018, dont :
- 204 contrôles sur place (dont 20 contrôles portant sur des dispositifs vidéo)
- 51 contrôles en ligne
- 51 contrôles sur pièces
- 4 auditions
Dans l’immense majorité des cas, la simple intervention de la Cnil se traduit par une mise en conformité de l’organisme.
11 sanctions ont été prononcées par la formation restreinte en 2018 :
- 10 sanctions pécuniaires (dont 9 publiques et 7 qui concernaient des atteintes à la sécurité des données personnelles.) ;
- 1 avertissement non public ;
- 1 non-lieu.
Le DPO, chef d’orchestre de la conformité RGPD
S’agissant du Délégué à la Protection des Données (DPD ou DPO en anglais pour Data Protection Officer), nouvel acteur clé de la conformité Informatique et libertés, le rapport souligne que 18 000 délégués à DPO ont été désignés en 2018 pour 51 000 organismes.
A noter également que fin 2018, 1.170 violations de données avaient été notifiées à la Cnil, laquelle est par ailleurs l’une des quatre autorités européennes ayant eu le plus de procédures à traiter en tant qu’autorité cheffe de file.
Les objectifs en 2019 : le RGPD, clé de voûte d’un numérique de confiance
Les enjeux 2019 consisteront à réussir la mise en œuvre du RGPD, à approfondir la capacité de la Cnil d’expertise sur les infrastructures et plateformes numériques et à continuer à peser dans les discussions européennes et internationales. Objectif : « rehausser le niveau de confiance dans l’économie numérique »
Parmi les acteurs que la Commission entend plus particulièrement accompagner en 2019 figurent les collectivités territoriales, avec un guide RGPD à leur attention qui sera publié très prochainement
La Cnil portera également en 2019 une attention particulière aux start up : plusieurs ateliers organisés à leur attention ont déjà eu lieu depuis le début de l’année afin de mieux comprendre ces acteurs et adapter les contenus qui leur sont destinés. La Cnil, qui publiera prochainement un dossier spécial RGPD qui leur est consacré ainsi qu’un kit de bonnes pratiques pour les développeurs d’applis/SI.
2019 : la fin d’une certaine forme de tolérance
La Cnil a indiqué qu’elle vérifierait pleinement en 2019 le respect des nouvelles obligations découlant du RGPD et en tirerait les conséquences avec discernement.
Il s’agit là de « la fin d’une certaine forme de tolérance liée à la transition » entre l’ancienne législation et le RGPD.
La Cnil vérifiera ainsi pleinement « le respect des nouvelles obligations et nouveaux droits issus du cadre européen (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations). Lorsqu’elle constatera des manquements, elle en tira les conséquences qui s’imposent, jusqu’à la sanction si nécessaire ».
Mais comme par le passé, « la Cnil fera preuve de discernement dans le choix des mesures correctrices. Les textes prévoient toute une palette de réponses : clôture avec observations, mise en demeure, rappel à l’ordre, injonction sous astreinte, sanction pécuniaire ». Pour choisir la réponse appropriée, elle « tiendra ainsi compte de la gravité des manquements, de l’activité et de la taille de l’organisme concerné, de sa coopération et de sa bonne foi ».
Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique
La Documentation Française, 2019, 99 p.
Télécharger le Rapport annuel