Protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles

Contenu

Bilan 2012 : une activité en hausse et un pilotage de la conformité au cœur du métier de la CNIL

23 avril 2013
Couverture du 33e rapport annuel

L'année 2012 a une fois encore montré une activité en forte croissance avec plus de 2000 décisions adoptées, 6000 plaintes enregistrées, 458 contrôles réalisés (+19% par rapport à 2010), 3682 demandes de droit d'accès indirect (+75% par rapport à 2011) dont 1800 portant sur l'accès au fichier FICOBA (fichier des comptes bancaires). Au-delà de ces chiffres, cette année se caractérise par de nombreuses initiatives de la CNIL pour accompagner les acteurs dans leur démarche de conformité.

Une préoccupation constante des citoyens

Le chiffre de 6017 plaintes reçues est le plus élevé jamais enregistré par la CNIL. Il témoigne de l'intérêt de plus en plus marqué des personnes pour la protection de leurs données et de la sensibilité de cette question à l'ère du numérique. Le service de plaintes en ligne disponible depuis 2010 facilite également la démarche des citoyens (44% des plaintes ont été reçues via cnil.fr en 2012).

L'opposition à figurer dans un fichier, tous secteurs confondus, constitue le principal motif de plaintes (46% des plaintes reçues).

Au-delà de ce volume important, l'année 2012 a confirmé la tendance observée en 2011 quant à au nombre important de plaintes relatives à internet/télécom (31 % des plaintes reçues) et plus particulièrement aux problématiques de « droit à l'oubli numérique ». La CNIL a reçu 1 050 plaintes qui portent sur la suppression de textes, photographies, vidéos, coordonnées, commentaires, faux profils en ligne, etc.

Les autres motifs de plaintes sont les suivants :

  • Commerce (21% des plaintes reçues) : radiation de fichiers publicitaires, conservation coordonnées bancaires, fichiers clients ;
  • Gestion des ressources humaines (15% des plaintes reçues) : vidéosurveillance, géolocalisation, accès au dossier professionnel ;
  • Banque (10% des plaintes reçues) : inscription au FICP (fichier national des incidents de remboursement des crédits aux particuliers, FCC (fichier central des chèques et des retraits de cartes bancaires).
  • Libertés publiques et collectivités (8% des plaintes reçues) avec une augmentation significative de ces plaintes liée aux opérations électorales : élections présidentielles et législatives, presse en ligne, diffusion par les collectivités locales de documents publics sur internet.

Les demandes d'accès au fichier FICOBA en forte augmentation

En 2012, la CNIL a reçu 1829 demandes d'accès au fichier FICOBA.

Pourquoi cette augmentation des demandes ?

L'augmentation importante du nombre de demandes de droit d'accès indirect au fichier FICOBA dont la CNIL est désormais destinataire, trouve son origine dans la reconnaissance par le Conseil d'Etat dans une décision du 29 juin 2011 du droit d'accès des héritiers en leur qualité « d'ayant droit du solde des comptes bancaires détenus par la personne décédée ».

Que contient FICOBA ?

Ce fichier, détenu par l'administration fiscale, permet à l'héritier d'avoir un recensement des comptes détenus par le défunt sur le territoire national (établissement, numéro et nature du compte, date d'ouverture, de modification ou de clôture), de nature à faciliter ses démarches aux fins de règlement de la succession. Il ne comporte aucune donnée concernant l'historique des opérations bancaires effectuées ou le solde des comptes à une date donnée.

Qui sont les demandeurs ?

Près de 80% des demandes reçues par la CNIL émanent soit des héritiers eux-mêmes soit, le plus fréquemment, des notaires en charge de la succession qu'ils ont mandatés en ce sens.
Les attentes en ce domaine sont amplifiées par le fait que les notaires ne se sont pas vus reconnaître, à la différence d'autres professions (ex : huissiers de justice munis d'un titre exécutoire), le statut de « tiers légalement autorisé » à accéder aux données de ce fichier directement auprès de l'administration fiscale.

Pourquoi les délais sont-ils longs ?

Comme pour l'ensemble des fichiers relevant du régime de droit d'accès indirect, l'exercice d'un tel droit n'emporte pas un droit à communication systématique des données par l'intermédiaire de la CNIL. L'administration fiscale peut ainsi s'opposer à la communication pour des motifs liés au recouvrement des impositions ou à la lutte contre la fraude fiscale.
De tels éléments « de contexte » ne peuvent être issus du fichier FICOBA mais de données dont l'administration fiscale dispose par ailleurs et nécessitent, dès lors, une étude particulière de chacun des dossiers.
Le volume important de demandes (moyenne de 250/300 par mois), ainsi que cette phase de recherches préalables aux vérifications par un magistrat de la CNIL, expliquent qu'une réponse ne puisse être apportée dans de très brefs délais, même si tant la CNIL que ses interlocuteurs au sein de l'administration fiscale s'attachent à assurer un rythme de traitement soutenu.  Actuellement,  le délai moyen est de 6 mois.

Comment améliorer la situation ?

Cette situation n'est pas satisfaisante, notamment pour les demandeurs. C'est pourquoi différentes pistes de réflexion sont à l'étude, y compris au sein de l'administration fiscale, pour améliorer le dispositif.

Un accompagnement des acteurs dans leur démarche de conformité

Dans un contexte d'évolutions technologiques et économiques extrêmement rapides, les organismes souhaitent s'assurer de la conformité permanente de leurs traitements aux exigences légales et aux bonnes pratiques.

De nouveaux outils pratiques et pédagogiques

La CNIL s'est donc engagée dans la mise en œuvre de véritables outils d'accompagnement des acteurs publics ou privés dans cette dynamique de mise en conformité. Elle a élaboré de nouveaux outils tels que :  

  • 5 fiches pratiques sur les données personnelles au travail, mises en ligne en janvier 2013, qui ont fait l'objet de plus de 30 000 téléchargements ;
  • le guide de la sécurité informatique comprenant une méthode et un catalogue de mesures pour aider les organismes à gérer les risques sur la vie privée. Ces outils opérationnels doivent faciliter l'intégration de la protection de la vie privée grâce à une approche pragmatique et rationnelle. Une version anglaise est également disponible. Ces guides ont été téléchargés 8000 fois. 
  • un « pack de conformité » spécialement conçu pour les acteurs du logement social et après les avoir consultés sera très prochainement disponible.

Les labels

La loi "informatique et libertés" permet à la CNIL de  délivrer des labels "à des produits ou des procédures" (article 11).

Pour les entreprises, le label CNIL permet de se distinguer par la qualité de leur service.

Pour les utilisateurs, c'est un indicateur de confiance dans les produits ou procédures labellisés, en leur permettant aisément d'identifier et privilégier ceux qui garantissent un haut niveau de protection de leurs données personnelles.

Pour obtenir un label CNIL, les entreprises doivent :

  • Se conformer aux exigences d'un référentiel établi par la CNIL.
  • Justifier la conformité de la procédure ou du produit labellisé à travers un dossier de candidature
  • Fournir les éléments de justification (référentiel d'audit, procédures internes, contrats types...).

A ce jour, deux labels CNIL ont été créés à la demande d'organisations professionnelles : le label « formations » et le label « audit de traitement ».

La CNIL a délivré ses premiers labels en juin 2012. Depuis, ce sont 16 labels qui ont été délivrés. 11 pour les formations et 5 pour les audits de traitement.

Les correspondants « informatique et libertés »

Chaque année, le CIL s'affirme un peu plus comme un acteur central de la mise en conformité. En 2012, la barre des 10 000 organismes ayant désigné un CIL a été franchie. Aujourd'hui, on compte plus de 11 000 organismes dotés d'un CIL et 3 700 correspondants.
Consacré par le projet de Règlement européen, le CIL devient un pilier de la conformité à la protection des données dans les organismes.
Alors que la désignation d'un CIL est actuellement optionnelle et constitue encore un élément accessoire des actions de mise en conformité, le futur délégué à la protection des données sera au cœur du modèle proposé par le projet de Règlement européen.
En effet, bientôt obligatoire pour certains organismes, le futur délégué veillera à instaurer des procédures pour s'assurer de l'effectivité de la conformité à la protection des données personnelles de la structure qui l'aura désigné.

Chargement en cours...