Bilan 2014 : les données personnelles au cœur du débat public et des préoccupations des Français

16 avril 2015

L’actualité nationale et internationale a placé les données personnelles au centre du débat public : droit au déréférencement, projet de loi sur le numérique, projet de loi renseignement, rapport du Conseil d’Etat, règlement européen, etc.

Protéger sa vie privée en ligne : une préoccupation croissante des citoyens

Répartition des demandes de citoyens

En 2014, la CNIL a enregistré environ 5825 plaintes, ce qui correspond à une légère hausse des demandes (+3%). 39% de ces plaintes concernent des problématiques d’e-réputation : suppression de textes, photographies, vidéos, coordonnées, commentaires, faux profils en ligne, la réutilisation de données publiquement accessibles sur internet,  etc. Depuis la décision de la Cour de Justice de l’union Européenne en mai 2014, la CNIL a reçu 200 plaintes consécutives à des refus de déréférencement par les moteurs de recherche.  En plus d’internet, les autres secteurs concernés par les plaintes sont  les suivants :

Commerce

(16% des plaintes reçues) : radiation de fichiers publicitaires, conservation coordonnées bancaires, fichiers clients, opposition à recevoir des courriels publicitaires ; M. F a réalisé un achat sur internet auprès de la société B. A la suite de cet achat, il a reçu de nombreux courriels de prospection commerciale. Un lien de désabonnement étant proposé, il l’utilise pour ne plus recevoir de prospection mais continue à recevoir les courriels. Deux mois après avoir exercé son droit d’opposition à recevoir de la prospection commerciale auprès de la société, il sollicite la CNIL afin que sa demande soit prise en compte. La CNIL a rappelé à la société que toute personne physique a le droit de s’opposer à ce que ses données soient utilisées à des fins de prospection. M. G n’a plus reçu de messages commerciaux de la société B.

Gestion des ressources humaines

(14% des plaintes reçues qui émanent de salariés ou de syndicats) : vidéosurveillance (300 plaintes), géolocalisation, accès au dossier professionnel, cybersurveillance ; Une monitrice d’auto-école saisit la CNIL car son employeur a mis en place, sur sa voiture, un système de géolocalisation alors qu’elle est autorisée à l’utiliser en dehors de son temps de travail. La CNIL a effectué un contrôle sur place à l’issue duquel le gérant a enlevé le dispositif de géolocalisation.

Banque 

(12% des plaintes reçues) : le motif principal de plainte est la contestation de l’inscription au FICP (fichier national des incidents de remboursement des crédits aux particuliers, ou au FCC (fichier central des chèques et des retraits de cartes bancaires). A la suite de sa perte d’emploi, Mme G a eu des difficultés pour payer son prêt à la consommation. Après deux mensualités impayées, sa banque l’a inscrite au FICP. Mme G a retrouvé un emploi et a remboursé intégralement sa dette. Un an après, elle a sollicité un prêt immobilier auprès d’une autre banque qui le lui a refusé au motif qu’elle était inscrite au FICP. Mme G n’arrivant pas à obtenir sa radiation du fichier d’incident a sollicité la CNIL.
La CNIL a rappelé à la banque qu’elle devait procéder à la radiation de l’incident immédiatement après le remboursement intégral de la dette par l’intéressé. Mme G a finalement été défichée.

Libertés publiques et collectivités locales

(11% des plaintes reçues) : élections municipales, presse en ligne, diffusion par les collectivités locales de documents publics sur internet, réutilisation de données publiques. Un propriétaire dont le bien a été vendu aux enchères retrouve l’ensemble des documents concernant la vente, en ligne, sur le site d’un cabinet d’avocat. La CNIL est intervenue auprès de ce professionnel du droit pour lui rappeler ses obligations en matière de confidentialité des données. Les éléments ont été supprimés du site.

L’opposition à figurer dans un fichier, tous secteurs confondus, constitue le principal motif de plaintes, ainsi que l’exercice du droit d’accès.

Un nouveau service de plaintes en ligne depuis avril 2015

Les plaintes en ligne ont été étendues à de nouveaux cas de plaintes. Désormais, les internautes peuvent naviguer parmi une cinquantaine de cas correspondant aux plaintes les plus fréquentes. Le service permet ainsi de répondre :

  • aux difficultés liées à la suppression de données personnelles sur des sites, blogs, forums, réseaux sociaux ou des moteurs de recherches ;
  • aux problèmes liés au spam et à la prospection commerciale par courrier, courriel ou par téléphone ;
  • aux questions de surveillance des salariés ;
  • aux inscriptions dans les fichiers d’incidents de paiement (Préventel, FICP, FCC chèques ou cartes bancaires).

Des demandes de droit d’accès indirect en forte croissance   

En 2014, la CNIL a reçu 5246 demandes de droit d’accès indirect, soit une augmentation de 22% par rapport à 2013. Ces demandes reçues représentent un total de 7577 vérifications à mener concernant par ordre d’importance : le fichier FICOBA de l’administration fiscale,  les fichiers d’antécédents judicaires de la police et de la gendarmerie (fichier unique TAJ depuis le 1er janvier 2014) et les fichiers de renseignement.

Evolutiond es demandes de droit d'accès indirect de 2012 à 2014

Madame L a adressé à  la CNIL une demande de droit d’accès indirect car, si dans le cadre d’une enquête de moralité réalisée dans la perspective du concours d’accès à l’Ecole Nationale de la Magistrature, un avis favorable a été émis, elle a appris à cette occasion qu’elle faisait l’objet d’une inscription dans le fichier d’antécédents judiciaires pour des faits qu’elle n’avait pas commis. Tel était bien le cas et cette affaire de «complicité d’escroquerie », qui aurait pu lui faire perdre le bénéfice de ce concours, a été effacée. Monsieur D, a saisi la CNIL après que le Préfet de son département lui a signifié une probable abrogation de son agrément en qualité d’agent de police municipale au motif de son inscription dans le fichier d’antécédents judiciaires. Au terme des vérifications, l’affaire concernée (« refus d’obtempérer, mise en danger de la personne, défaut de permis de conduire ») a été supprimée dans la mesure où il n’était nullement le mis en cause, mais la victime. Monsieur L., préoccupé par l’absence de réponse obtenue quant à la délivrance de sa carte professionnelle d’agent de sécurité privée a souhaité exercer son droit d’accès indirect. Aux termes des vérifications menées, une affaire de « violences volontaires et d’outrage à agent de la force publique » enregistrée à son nom dans ce fichier a été supprimée car, commise par un tiers qui avait usurpé son identité. Si on cumule les plaintes et les demandes de droit d’accès indirect, ce sont donc plus de 11 000 demandes individuelles qui ont été adressées à la CNIL en 2014, auxquelles s’ajoutent 133 000 appels téléphoniques reçus (contre 124 500 appels reçus en 2013). Ces chiffres témoignent donc de la sensibilité croissante des personnes quant à la protection de leurs données personnelles dans un univers numérique marqué par la très forte circulation de ces données.

Une action répressive avec des pouvoirs de contrôle renforcés

La logique de la loi et son application par la CNIL visent avant tout la mise en conformité des organismes mis en cause. A chaque phase d’instruction d’une plainte et/ou d’un contrôle, ceux-ci ont la possibilité de suivre les mesures recommandées par la CNIL pour se mettre en conformité. Dans l’immense majorité des cas, la simple intervention de la CNIL se traduit par une mise en conformité de l’organisme. Le prononcé de sanction par la CNIL permet de sanctionner des organismes qui persistent dans des comportements répréhensibles, et constitue donc un instrument de dissuasion important. 62 mises en demeure ont été adoptées (contre 57 en 2013), dont 69% d’entre elles ont donné lieu à une mise en conformité. Plusieurs mises en conformité sont encore en cours.
18 sanctions (contre 14 en 2013) ont été prononcées par la formation restreinte, dont 8 sanctions pécuniaires. La CNIL a réalisé 421 contrôles en 2014, dont les premiers contrôles en ligne. A l’occasion de l’adoption de la loi relative à la consommation du 17 mars 2014, la CNIL s’est vue reconnaître la possibilité d’effectuer des contrôles en ligne, lui permettant de constater à distance, depuis un ordinateur connecté à internet, des manquements à la loi Informatique et Libertés. Cette adaptation du pouvoir d’investigation de la CNIL au développement numérique, vient s'ajouter aux autres moyens d'enquête déjà existants : contrôles sur place au sein des organismes, auditions sur convocation à la CNIL et contrôles sur pièces. Elle offre à la CNIL l’opportunité d’être plus efficace et réactive dans un univers en constante évolution. Elle peut ainsi plus rapidement constater et agir contre les atteintes à la protection des données et à la vie privée sur internet. Au total, 58 contrôles en ligne ont ainsi pu être effectué entre octobre et décembre 2014, sur plusieurs thématiques, dont :

  • la conformité des pratiques des acteurs du web à la recommandation cookies et autres traceurs, adoptée par la CNIL le 5 décembre 2013 ;
  • la publication des listes d’électeurs sur les sites web des Universités ;
  • la sécurité relative aux formulaires de demande en ligne d’actes d’état civil sur les sites des communes.

Les données personnelles, au cœur du débat public

En 2014, le débat public s’est fortement structuré autour de la protection des données personnelles et des libertés numériques en France et ailleurs. On peut citer notamment le rapport du Conseil d’Etat sur le numérique ou la consultation du CNNum sur le projet de loi numérique, auxquels la CNIL a largement contribué.  Elle a publié en janvier 2015 ses propositions qui comportent notamment : un droit à l’oubli pour les mineurs, des sanctions renforcées, la saisine systématique de la CNIL dans le cadre des propositions de loi.
Ce débat se poursuit en 2015 avec le projet de loi relatif au renseignement au sujet duquel l’avis de la CNIL a été rendu public, à la demande du Président de la Commission des Lois de l’Assemblée Nationale. La CNIL a aussi été très attentive au projet de loi santé, et notamment son article 47 relatif aux  modalités d’ouverture des données de santé. Au plan international, les suites des révélations d’Edward Snowden et les débats autour du droit au déréférencement consacré par la CJUE ont alimenté les discussions. En 2015, le projet de règlement européen sur les données personnelles sera un enjeu central, de même que les mesures visant à une lutte coordonnées de l’Europe contre le terrorisme (PNR, etc.). La CNIL, comme le G29, dont la CNIL occupe la Présidence pour deux ans, sera très active dans l’ensemble de ces débats et s’attachera à garantir un équilibre entre libertés, sécurité et innovation.

Document reference