Présentation du Rapport d’activité 2018 et des enjeux 2019 de la CNIL

15 avril 2019

L’entrée en application du RGPD a marqué une prise de conscience inédite des enjeux de protection des données auprès des professionnels et des particuliers. Cela s’est logiquement traduit par une augmentation considérable des plaintes adressées à la CNIL, avec une tendance à la hausse qui s’installe. La CNIL a aussi reçu un afflux de demandes d’information de la part des professionnels souhaitant s’approprier ce nouveau cadre, et ce, tous canaux confondus.

 

 

L’essentiel de 2018

2018, une année exceptionnelle pour la CNIL marquée par l’entrée en application du RGPD.

  • L’entrée en application du Règlement général sur la protection des données (RGPD) a marqué une prise de conscience inédite des enjeux de protection des données auprès des professionnels et des particuliers. 
  • Cela s’est traduit par une augmentation considérable des plaintes adressées à la CNIL.
  • La CNIL a aussi reçu un afflux de demandes d’information de la part des professionnels souhaitant s’approprier ce nouveau cadre qui  l’ont identifiée comme une source d’information de référence.

La CNIL au service des citoyens

Un nombre record de plaintes qui s’explique par l’effet médiatique du RGPD et une sensibilisation accrue des citoyens

Selon un sondage IFOP réalisé en avril pour la CNIL, 70% des Français se disent plus sensibles que ces dernières années à la protection de leurs données personnelles.

Cette hausse de la sensibilité des Français explique en partie qu’en 2018, la CNIL ait reçu un nombre record de 11 077 plaintes (+32,5% par rapport à 2017). Environ 20% des plaintes font désormais l’objet d’une cooperation européenne.

Ces plaintes portent sur  :

  • la diffusion de données sur internet (373 demandes de déréférencement, droit désormais consacré par le RGPD.) Il s’agit pour les personnes de demander la suppression de données les concernant sur internet (nom, prénom, coordonnées, commentaires, photographies, vidéos, comptes, etc.) Ces plaintes traduisent les difficultés rencontrées par les personnes pour  maitriser leur vie numérique, et notamment leur réputation en ligne : 35,7% ;
  • le secteur marketing/commerce : 21% ;
  • les ressources humaines : 16,5% ;
  • la banque et le crédit : 8,9% ;
  • le secteur santé et social : 4,2%.

La CNIL a observé plusieurs tendances émergentes :

  • Le visionnage à distance des images issues des dispositifs vidéo ;
  • L’installation de caméras dans des unités de soin ;
  • Le souhait des clients de banques ou de services en ligne de contenus d’utiliser leur droit à la portabilité de leurs données ;
  • Une sensibilité accrue des citoyens concernant la sécurité de leurs données personnelles dans tous les secteurs ;
  • Des craintes d’utilisateurs d’ordiphone concernant les données auxquelles les applications mobiles peuvent avoir accès.

Modification importante des modalités d’exercice des droits pour certains fichiers de l’Etat 


Le décret du 1er août 2018 portant application de la loi Informatique et Libertés prévoit désormais, pour certains fichiers un principe direct de l’exercice des droits

La CNIL n’est donc plus l’interlocutrice première des personnes pour la majeure partie des fichiers qui étaient jusqu’à présent soumis au régime du droit d’accès indirect.

4264 demandes de droit d’accès indirect ont été adressées à la CNIL en 2018 portant majoritairement sur le TAJ et le fichier FICOBA.

La CNIL conseille les pouvoirs publics

Le collège de la CNIL a rendu 120 avis sur des projets de texte d’origine gouvernementale concernant la protection des données personnelles ou  créant  de  nouveaux  fichiers et 110 autorisations.

La CNIL a également participé à une trentaine d’auditions parlementaires.

La CNIL aide les professionnels à s’approprier le RGPD

La CNIL : une source d’information de référence pour les professionnels

Les professionnels peuvent s’appuyer sur les nombreux outils de mise en conformité au RGPD proposés par la CNIL et disponible depuis son site (guide TPE/PME ; logiciel AIPD ; formation en ligne MOOC etc.).

« L’effet RGPD », déjà ressenti en 2017, s’est accentué en 2018 :

  • 189 877 appels reçus (+22% par rapport à 2017) ;
  • 283 742 consultations des Questions/Réponses  (+59% par rapport à 2017) ;
  • 8 millions de visites sur cnil.fr (+80% par rapport à 2017).

Les nouveaux outils au service de la conformité

  • Le délégué à la protection des données (DPO) :
    • 51 000 organismes ont désigné un DPO, ce qui représente 18 000 délégués par effet de mutualisation ;
    • 1/3 sont des organismes publics ;
    • 2 référentiels en matière de certification de DPO adoptés ;
  • Les notifications de violations de données au nombre de 1 170 en 2018, dues en très grande majorité à des atteintes à la confidentialité des données.

L’activité répressive au service de la sécurité des données

Les contrôles

La CNIL a réalisé 310 contrôles en 2018, dont :

  • 204 contrôles sur place (dont 20 contrôles portant sur des dispositifs vidéo)
  • 51 contrôles en ligne
  • 51 contrôles sur pièces
  • 4 auditions

Les mises en demeure et sanctions

Dans l’immense majorité des cas, la simple intervention de la CNIL se traduit par une mise en conformité de l’organisme.

49  mises en demeure ont été adoptées en 2018. Deux secteurs ont été particulièrement concernés :

  • celui des assurances, avec 5 décisions adoptées ;
  • celui des entreprises spécialisées dans le ciblage publicitaire par le biais d’une technologie (SDK) installée dans des applications mobiles, avec 4 décisions adoptées. Ces mises en demeure ont toutes fait l’objet d’une clôture.

11 sanctions ont été prononcées par la formation restreinte :

  • 10 sanctions pécuniaires (dont 9 publiques et 7 qui concernaient des atteintes à la sécurité des données personnelles.) ;
  • 1 avertissement non public ;
  • 1 non-lieu.

Les enjeux 2019

Les enjeux 2019 consisteront à réussir la mise en œuvre du RGPD, à approfondir sa capacité d’expertise sur les infrastructures et plateformes numériques et à continuer à peser dans les discussions européennes et internationales.

  1. Réussir le RGPD, clé de voûte d’un numérique de confiance

L’année 2019 sera décisive pour crédibiliser le nouveau cadre juridique et transformer cet ambitieux pari européen en succès opérationnel. Les attentes de la société civile et des acteurs économiques sont très fortes et ce modèle suscite des intérêts à travers le monde. La CNIL articulera son action autour de deux axes principaux : la pédagogie et la dissuasion.

L’amplification des actions d’accompagnement :

  • La sensibilisation à destination des collectivités
  • La préparation des élections européennes et municipales en matière de communication politique
  • La publication d’un guide et de fiches pratiques sur l’ouverture des données publiques (open data) avec la CADA
  • L’accompagnement des start-ups et de la communauté des designers
  • L’élaboration de nouveaux cadres de référence
  • Un dialogue étroit avec les professionnels

Le programme des contrôles 2019 :

La CNIL souhaite concentrer cette année son action sur les plaintes et trois grandes thématiques, directement issues de l’entrée en application du RGPD :

  • Une stratégie de contrôles centrée sur les plaintes reçues (collectives ou individuelles) pour rester en prise directe avec les attentes des citoyens. Les contrôles porteront notamment sur l’exercice pratique des droits, ce qui représente 73,8% des plaintes reçues.
  • Des contrôles sur des grandes thématiques qui concernent tous les secteurs plutôt que sur des traitements : la répartition des responsabilités entre les sous-traitants et les donneurs d’ordre, les données des mineurs (publication de photos, biométrie et vidéosurveillances dans les écoles, recueil du consentement des parents pour les moins de 15 ans). 
  1. Une CNIL experte sur les infrastructures et plateformes numériques

Afin de continuer à être un régulateur du numérique efficace et pragmatique, la CNIL doit constamment se réinventer pour être en mesure de toujours maîtriser des sujets supposant une expertise technologique pointue. Dans un contexte d’innovation permanente, il s’agit d’un enjeu majeur pour la CNIL.

  1. Une diplomatie de la donnée personnelle, aux niveaux européen et international

La CNIL entend conserver un rôle moteur au niveau européen en défendant les positions françaises au sein du Comité européen de protection des données (CEPD) notamment dans le cadre des travaux prévus au programme de travail 2019-2020. Elle participera aux initiatives visant à développer une coopération opérationnelle avec ses homologues extra européens et une convergence des principes de protection des données au plan mondial.

Document reference

A télécharger