Sur le thème « La Cnil alliée de confiance du quotidien numérique », l’autorité chargée de la protection des données personnelles a rendu public le 9 juin 2020 son rapport annuel pour 2019.
Le rapport d’activité de la Cnil 2019, qui coïncide avec l’année de son 40ème anniversaire, est rendu public au moment où le Règlement général sur la protection des données (RGPD) vient de fêter le 25 mai 2020 le deuxième anniversaire de son entrée en application effective.
Nul doute dans ces conditions que ce texte qui a transformé en profondeur le droit de la protection des données à caractère personnel en Europe soit une nouvelle fois au cœur du rapport annuel pour 2019. C’est d’ailleurs le « constat indéniable » que souligne en avant-propos sa présidente Marie-Laure Denis : « L’année 2019 démontre que le RGPD est au cœur des préoccupations des Français et des Européens ».
Une très forte mobilisation autour du RGPD de la part de tous les publics
Le rapport souligne ainsi que 68 % des Français se déclarent plus sensibles à la question de la protection de leurs données personnelles. Un taux qui s’explique, selon la Cnil, en partie par « la médiatisation dont a bénéficié le RGPD en 2018 qui se concrétise par une prise de conscience massive, inscrite dans la durée ».
Cela s’est traduit en 2019, en 2019, par 8 millions de visites sur son site web ou encore 17 302 requêtes par voie électronique sur « Besoin d’aide », soit une augmentation de 2,5 %.
La Cnil a également reçu 14 137 plaintes, soit une hausse de 27 % par rapport à 2018 (11 077) et de 79 % en cinq ans.
L’autorité indique que les 2 287 notifications de violations de données personnelles reçues en 2019 lui permettent également « d’orienter au mieux son action de conseil ainsi que son action répressive et, finalement, de mieux jouer son rôle dans l’écosystème de la cybersécurité ».
En outre, pour répondre aux enjeux numériques de la vie quotidienne des Français, la Cnil a enrichi son offre éditoriale (recommandations, fiches, vidéos etc.) et a créé de nouveaux outils pratiques pour aider les particuliers à maîtriser leurs données personnelles et exercer leurs droits.
Le rapport annuel pour 2019 dresse le bilan de l’activité de contrôle et de sanction de la Cnil
Revenant sur l’entrée en application effective du RGPD et la mise en conformité du droit national qui en a découlé, la présidente Marie-Laure Denis souligne que la Cnil s’est « pleinement emparée du nouveau cadre juridique », ayant « activé les nouveaux seuils de sanction prévus par le RGPD, à l’image de la sanction Google de janvier 2019, qui reste encore, à ce jour, la sanction la plus importante en Europe décidée par les autorités de protection de données ».
Le rapport annuel pour 2019 souligne que pour faire écho à l’allègement des formalités et au principe de responsabilité des organismes, la Cnil s’investit pleinement dans les actions répressives, qui ont pris une nouvelle ampleur avec le RGPD.
Pour ce faire, l’autorité dispose aujourd’hui d’une chaîne répressive complète lui permettant de recevoir des signalements par des canaux divers, de réaliser des contrôles dont le nombre est stable par rapport à 2018 et dont les suites peuvent aller de la clôture à la mise en demeure ou à la sanction financière. Dans certains cas, une publicité peut être décidée en fonction de la gravité des manquements.
L’activité de la Cnil en quelques chiffres
En 2019, la Cnil a ainsi procédé à 300 contrôles dont :
- 169 contrôles sur place ;
- 53 contrôles en ligne ;
- 45 contrôles sur pièce ;
- 18 auditions.
8 sanctions ont été prononcées en 2019, dont :
- 7 amendes d’un montant total de 51 370 000 euros ;
- 5 injonctions sous astreinte.
Ces sanctions concernaient principalement des atteintes à la sécurité des données personnelles, des manquements à l’obligation d’information des personnes, des manquements liés aux durées de conservations des données et dans un cas, le non-respect du droit d’accès prévu par le RGPD.
42 mises en demeure ont par ailleurs été prononcées en 2019, dont 2 publiques, ainsi que 2 rappels à l’ordre et 2 avertissements. Les mises en demeure rendues publiques l’ont été en raison des manquements importants constatés. La moitié des mises en demeure a porté sur le droit au déréférencement, le droit d’opposition ou le droit d’accès.
Le rôle de conseil de la Cnil aux pouvoirs publics et au Parlement
En 2019, la Cnil a participé à plus de 30 auditions parlementaires. Elle a également adopté des avis sur plusieurs projets de loi, notamment celui sur la bioéthique, celui sur l’organisation du système de santé ou encore le projet de loi de finances s’agissant de l’utilisation des réseaux sociaux par l’administration fiscale.
Par ailleurs, du fait de l’actualité particulièrement riche dans le domaine de la reconnaissance faciale, la Cnil rappelle qu’elle a contribué au débat en présentant, le 15 novembre 2019, les éléments techniques, juridiques et éthiques qui doivent être pris en compte sur ce sujet qui soulève des questions inédites touchant à des choix de société.
La Cnil et l’accompagnement des professionnels
La Cnil aura également consacré l’année 2019 au développement de nombreux outils d’accompagnement à la conformité RGPD, parmi lesquels les premiers outils de droit souple tels que le référentiel de gestion des vigilances sanitaires, un cours en ligne ouvert à tous (MOOC) « Atelier RGPD » qui compte plus de 62 000 comptes, le site design.cnil.fr, ou encore la publication de nombreux contenus pédagogiques sur le site web cnil.fr.
La coopération européenne renforcée
La coopération entre autorités européennes continue à se développer. 79 décisions finales ont été adoptées dans le cadre européen du guichet unique en 2019 (dont 10 cas pour lesquels la Cnil a été autorité chef de file du fait que l’organisme visé avait son établissement principal en France, et 32 cas où la Cnil participait activement du fait que des Français étaient concernés par le traitement). 596 dossiers de coopération concernaient des plaintes et la Cnil était « chef de file » sur 54 cas.
Quatre nouvelles lignes directrices européennes, qui clarifient comment appliquer le RGPD, ont aussi été adoptées sur des sujets structurants tels que le champ d’application territorial, les codes de conduite, la base légale « contrat » pour la fourniture de services en ligne, ou encore les dispositifs vidéo. Deux consultations publiques ont également été amorcées, l’une portant sur la protection des données dès la conception et par défaut (data protection by design and by default), l’autre, sur les critères du droit à l’oubli dans les moteurs de recherche.
Sur la scène internationale, les autorités réunies au sein du Comité européen de la protection des données ont aussi émis un avis favorable sur le premier outil de transferts de données entre autorités publiques dans le domaine des services financiers, participé à l’évaluation annuelle du cadre juridique de transferts de données commerciales entre l’UE et les Etats-Unis (Bouclier de protection des données) et participé à leur première audience devant la Cour de Justice de l’Union européenne en tant qu’experts tiers au contentieux (dit « Schrems II »).
La Cnil et les enjeux 2020
Dans son rapport annuel pour 2019, la Cnil revient sur son plan d’action sur les cookies.
Concernant le ciblage publicitaire en ligne, la Cnil rappelle qu’elle a proposé un plan d’action le 28 juin 2019 qui se poursuit en 2020 et a deux objectifs :
- répondre aux plaintes individuelles et collectives (La Quadrature du Net, Privacy International, NOYB) et
- accompagner les professionnels du secteur du marketing digital dans leur dans leur mise en conformité par rapport obligations du RGPD.
Après la publication de lignes directrices le 18 juillet 2019 et suite à une consultation publique, la Cnil publiera une recommandation proposant des modalités opérationnelles de recueil du consentement.
Les actions menées par la Cnil durant l’état d’urgence sanitaire
Dans le contexte de la crise sanitaire liée au Covid-19, le rapport annuel pour 2019 rappelle que la Cnil est plus que jamais mobilisée pour protéger la vie privée et les libertés des personnes.
Elle a ainsi publié de nombreux contenus, à destination des professionnels mais également des particuliers, sur le télétravail, la continuité des activités, la recherche ou encore les données qui peuvent être traitées par les employeurs.
L’autorité s’est mobilisée pour instruire en priorité, dans des délais extrêmement courts, les demandes d’autorisation de projets de recherche portant sur le Covid-19, lorsque les traitements envisagés ne sont pas conformes aux méthodologies de référence déjà adoptées.
En outre, la Cnil a été saisie en urgence par le Gouvernement, dans le cadre de la mise en place de la stratégie de déconfinement, notamment d’avis sur les fichiers SI-DEP et Contact Covid et sur l’application mobile StopCovid. Après s’être prononcée sur les projets de décrets, la Cnil va désormais procéder à une série de contrôles de ces outils.
Éric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la Communication juridique
Commission Nationale de l’Informatique et des Libertés
Rapport d’activité 2019
Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles
La Documentation française, 112 pages, Juin 2020.
V. également le dossier de presse du 9 juin 2020.