La CNIL publie son rapport d’activité 2019
Dans son quarantième rapport d’activité, la CNIL revient sur les temps forts de 2019 et les grands enjeux à venir. En cette deuxième année du RGPD, la CNIL constate des chiffres inédits qui témoignent d’une très forte mobilisation des citoyens et des entreprises autour de la protection des données. L’année 2019 a également été marquée par une sanction record en Europe, traduisant l’activation des nouveaux plafonds de sanctions prévus par le RGPD.
La CNIL, alliée de confiance du quotidien numérique
68 % des Français se disent plus sensibles à la question de la protection de leurs données personnelles : cela est dû, en partie, à la médiatisation dont a bénéficié le RGPD en 2018 qui se concrétise par une prise de conscience massive, inscrite dans la durée.
Pour la CNIL, cela s’est traduit en 2019 par 8 millions de visites sur son site web ou encore 17 302 requêtes par voie électronique sur « Besoin d’aide », soit une augmentation de 2,5%.
La CNIL a également reçu 14 137 plaintes, soit une hausse de 27 % par rapport à 2018 (11 077) et de 79% en cinq ans. Cette augmentation structurelle du nombre de plaintes apporte un éclairage essentiel sur les problématiques quotidiennes des français. Par exemple, 14,7 % de ces plaintes concernent la prospection commerciale, associative, politique, qu’elle soit reçue par voie postale ou téléphonique, ou encore par courriel. En outre, les défauts de sécurisation des données sont désormais un motif récurrent de plainte auprès de la CNIL.
Les 2 287 notifications de violations de données personnelles reçues en 2019 permettent également à la CNIL d’orienter au mieux son action de conseil ainsi que son action répressive et, finalement, de mieux jouer son rôle dans l’écosystème de la cybersécurité.
En outre, pour répondre aux enjeux numériques de la vie quotidienne des Français, la CNIL a enrichi son offre éditoriale (recommandations, fiches, vidéos etc.) et a créé de nouveaux outils pratiques pour aider les particuliers à maîtriser leurs données personnelles et exercer leurs droits.
L’activité de contrôle et de sanction au cœur de la régulation du numérique
Pour faire écho à l’allègement des formalités et au principe de responsabilité des organismes, la CNIL s’investit pleinement dans les actions répressives, qui ont pris une nouvelle ampleur avec le RGPD. Pour ce faire, la CNIL dispose d’une chaîne répressive complète lui permettant de recevoir des signalements par des canaux divers, de réaliser des contrôles dont le nombre est stable par rapport à 2018 et dont les suites peuvent aller de la clôture à la mise en demeure ou à la sanction financière. Dans certains cas, une publicité peut être décidée en fonction de la gravité des manquements.
En 2019, la CNIL a ainsi procédé à 300 contrôles dont :
- 169 contrôles sur place ;
- 53 contrôles en ligne ;
- 45 contrôles sur pièce ;
- 18 auditions.
8 sanctions ont été prononcées en 2019, dont :
- 7 amendes d’un montant total de 51 370 000 euros, comprenant notamment la plus forte amende prononcée à ce jour par une autorité de protection des données en Europe ;
- 5 injonctions sous astreinte.
Ces sanctions concernaient principalement des atteintes à la sécurité des données personnelles, des manquements à l’obligation d’information des personnes, des manquements liés aux durées de conservations des données et dans un cas, le non-respect du droit d’accès prévu par le RGPD.
42 mises en demeure ont été prononcées en 2019, dont 2 publiques, ainsi que 2 rappels à l’ordre et 2 avertissements. Les mises en demeure rendues publiques l’ont été en raison des manquements importants constatés. La moitié des mises en demeure a porté sur le droit au déréférencement, le droit d’opposition ou le droit d’accès.
L’expertise de l’innovation, et le conseil aux pouvoirs publics et au Parlement
En 2019, la CNIL a participé à plus de 30 auditions parlementaires. Elle a également adopté des avis sur plusieurs projets de loi, notamment celui sur la bioéthique, celui sur l’organisation du système de santé ou encore le projet de loi de finances s’agissant de l’utilisation des réseaux sociaux par l’administration fiscale.
Par ailleurs, du fait de l’actualité particulièrement riche dans le domaine de la reconnaissance faciale, la CNIL a contribué au débat en présentant, le 15 novembre 2019, les éléments techniques, juridiques et éthiques qui doivent être pris en compte sur ce sujet qui soulève des questions inédites touchant à des choix de société.
L’accompagnement des professionnels intensifié
L’année 2019 aura également été consacrée au développement de nombreux outils d’accompagnement à la conformité RGPD, parmi lesquels les premiers outils de droit souple tels que le référentiel de gestion des vigilances sanitaires, un cours en ligne ouvert à tous (MOOC) « Atelier RGPD » qui compte plus de 62 000 comptes, le site design.cnil.fr, ou encore la publication de nombreux contenus pédagogiques sur le site web cnil.fr.
La coopération européenne renforcée
La coopération entre autorités européennes continue à se développer. 79 décisions finales ont été adoptées dans le cadre européen du guichet unique en 2019 (dont 10 cas pour lesquels la CNIL a été autorité chef de file du fait que l’organisme visé avait son établissement principal en France, et 32 cas où la CNIL participait activement du fait que des Français étaient concernés par le traitement). 596 dossiers de coopération concernaient des plaintes et la CNIL était « chef de file » sur 54 cas.
Quatre nouvelles lignes directrices européennes, qui clarifient comment appliquer le RGPD, ont aussi été adoptées sur des sujets structurants tels que le champ d’application territorial, les codes de conduite, la base légale « contrat » pour la fourniture de services en ligne, ou encore les dispositifs vidéo. Deux consultations publiques ont également été amorcées, l’une portant sur la protection des données dès la conception et par défaut (data protection by design and by default), l’autre, sur les critères du droit à l’oubli dans les moteurs de recherche.
Sur la scène internationale, les autorités réunies au sein du Comité européen de la protection des données ont aussi émis un avis favorable sur le premier outil de transferts de données entre autorités publiques dans le domaine des services financiers, participé à l’évaluation annuelle du cadre juridique de transferts de données commerciales entre l’UE et les Etats-Unis (Bouclier de protection des données) et participé à leur première audience devant la Cour de Justice de l’Union européenne en tant qu’experts tiers au contentieux (dit « Schrems II »).
Les enjeux 2020
Retour sur le plan d’action de la CNIL sur les cookies
Concernant le ciblage publicitaire en ligne, la CNIL a proposé un plan d’action le 28 juin 2019 qui se poursuit en 2020 et a deux objectifs : répondre aux plaintes individuelles et collectives (La Quadrature du Net, Privacy International, NOYB) et accompagner les professionnels du secteur du marketing digital dans leur dans leur mise en conformité par rapport obligations du RGPD. Après la publication de lignes directrices le 18 juillet 2019 et suite à une consultation publique, la CNIL publiera une recommandation proposant des modalités opérationnelles de recueil du consentement.
Le coronavirus et l’état d’urgence sanitaire
Dans le contexte de la crise sanitaire, la CNIL est mobilisée pour protéger la vie privée et les libertés des personnes. Elle a ainsi publié de nombreux contenus, à destination des professionnels mais également des particuliers, sur le télétravail, la continuité des activités, la recherche ou encore les données qui peuvent être traitées par les employeurs. Elle s’est mobilisée pour instruire en priorité, dans des délais extrêmement courts, les demandes d’autorisation de projets de recherche portant sur la COVID-19, lorsque les traitements envisagés ne sont pas conformes aux méthodologies de référence déjà adoptées. En outre, la CNIL a été saisie en urgence par le Gouvernement, dans le cadre de la mise en place de la stratégie de déconfinement, notamment d’avis sur les fichiers SI-DEP et Contact Covid et sur l’application mobile StopCovid. Après s’être prononcée sur les projets de décrets, la CNIL va désormais procéder à une série de contrôles de ces outils.