Bilan 2017 L’effet RGPD : une année de préparation active de la transition, doublée d’une très forte attente des particuliers et des professionnels

Un nombre record de plaintes et des citoyens de plus en plus concernés

En 2017, la CNIL a reçu 8 360 plaintes, ce qui représente un record de plaintes (7900 en 2015 / 7703 en 2016). En règle générale, la CNIL constate une préoccupation croissante des personnes quant à l’utilisation qui est faite de leurs données. Elles posent de nombreuses questions sur la collecte de données personnelles via des applications ou des sites, sur la pertinence des données qui leurs sont demandées.

• 27% des plaintes concernent la diffusion de données personnelles sur Internet (site, blog, réseau social) et principalement leur suppression ou leur rectification, ce qui demeure une démarche difficile. Dans la majorité des cas, les personnes s’adressent à la CNIL car elles n’ont pas obtenu de réponse de la part de l’organisme ou de la personne à l’origine de la diffusion de l’information, qu’il n’existe pas de procédure en ligne, qu’elles ont reçu un refus non motivé de la part de l’organisme ou enfin que l’information erronée a été dupliquée à de nombreuses reprises. Dans ce dernier cas de figure, la personne a plutôt intérêt à supprimer l’information à la source. La CNIL diffuse de nombreux conseils pratiques pour sensibiliser les personnes à la maîtrise de leurs données personnelles en ligne : réglages des paramètres de confidentialité, minimisation des données transmises, recours à des pseudonymes, ego-surfing pour vérifier les informations en ligne, fermetures des comptes non actifs, etc. 

La CNIL a reçu 335 demandes de déréférencement, à la suite de refus de la part des moteurs de recherche. Ce sont donc 1335 demandes reçues depuis 2014. Pour apprécier le bienfondé de ces demandes, la CNIL met en balance les droits fondamentaux de la personne concernée avec l’intérêt du public à avoir accès au contenu à partir des nom et prénom de cette personne. Elle prend notamment en compte le caractère récent du contenu en cause, son caractère exact, journalistique ou légal et le rôle joué par la personne dans la vie publique. Ces demandes ont été suivies d’effets par les moteurs de recherche dans 75% des cas. Le Conseil d’Etat a saisi la cour de justice de l’UE sur la possibilité pour les moteurs de recherche de traiter des données sensibles et des données d’infraction ce qui entraine une suspension du traitement de certaines plaintes déréférencement concernant ce type de données.

• 25% des plaintes concernent le secteur marketing/commerce et principalement la prospection par courriel, téléphone ou courrier. Afin de limiter la prospection commerciale non sollicitée, la CNIL dispense de nombreux conseils pratiques et notamment la création d’adresses électroniques dédiées aux usages : achats en ligne, réseaux sociaux, jeux, relations amicales, échanges professionnels.  Pour agir plus efficacement contre le spam, la CNIL a changé en 2017 sas méthodes d’instruction et renforcé sa collaboration avec l’association Signal spam.
• Les autres secteurs concernés par les plaintes sont :
  • les ressources humaines (16%) : vidéosurveillance excessive, géolocalisation, refus de communication du dossier professionnel) ; Ces demandes proviennent de salariés, de syndicats ou d’inspecteurs du travail.
  • la banque et le crédit (12%) : absence de levée de l’inscription au Fichier national des Incidents de remboursement des Crédits aux Particuliers ou fichier central des chèques et cartes bancaires ;
  • le secteur santé et social (8%) : difficultés à accéder au dossier médical ou social, Pôle emploi.

Les tendances émergentes

Les plaintes reçues permettent à la CNIL d’identifier de nouvelles tendances :

• Les objets connectés soulèvent des enjeux croissants : compteurs communicants (plaintes, notamment de mairies, qui pointent un manque d’information sur l’installation des compteurs, les données collectées, leurs destinataires, les enceintes connectées ou assistants vocaux) ;
• La réutilisation par des sites internet des données des auto-entrepreneurs publiées sur les annuaires professionnels : des sites internet réutilisent les nom, prénom et adresses personnelles des auto-entrepreneurs à partir des informations disponibles sur Infogreffe ;
• Les dispositifs de lecture automatisée de plaque d’immatriculation en lien avec la dépénalisation du stationnement : absence d’information, caractère intrusif du dispositif, absence d’information sur la durée de conservation des données, sur les destinataires ;
• Le manque de formation des personnels communaux chargés de la prise d’empreintes digitales de demandeurs de titres d’identité qui ne sont pas informés de la possibilité de refuser la numérisation et l’enregistrement des empreintes et de la procédure prévue dans ce cas – le ministère a diffusé une circulaire explicative en ce sens  ;
• Le son couplé à la vidéoprotection : cette tendance attentatoire à la vie privée des personnes s’inscrit dans un phénomène constant de déploiement de dispositifs permettant de surveiller les employés et leur activité sur le lieu de travail. La captation et l’enregistrement des conversations des employés s’effectuent souvent à leur insu (via des smartphones) et sont, a priori, disproportionnés ;
• L’accès aux messageries professionnelles des salariés absents ou ayant quitté l’entreprise : la messagerie doit être supprimée après le départ d’un salarié, un message indiquant les coordonnées d’un nouvel interlocuteur peut être mise en place.

L’offre grand public de la CNIL pour une meilleur maîtrise de sa vie privée

Le site de la CNIL a reçu 1,8 million de visites supplémentaires en 2017, soit 4,4 millions de visites. (+59% de visiteurs).

Le service d’aide en ligne Besoin d’Aide a reçu 14 701 demandes (+21% par rapport à 2016) et dispose de plus de 500 questions/réponses.

Sur son site, la CNIL propose de nombreuses fiches pratiques et conseils à destination des particuliers :

• Les conseils pour un bon mot de passe est l’article le plus lu du site ;
• Enceintes connectées et assistants vocaux ;
• Jouets connectés ;
• Les données collectées et transmises par les compteurs communicants (Gaspar et Linky) ;
• Utilisation d’un WIFI public ;
• Prospection politique par automate d’appels ;

La vidéo « Protéger sa vie privée en 6 étapes » par Le Rire Jaune, en partenariat avec la MGEN a atteint plus de 4 millions de vues sur YouTube.

Les 4 comptes Twitter de la CNIL comptent 100 000  followers, le compte Facebook 29 000 fans et le compte LinkedIn 19 000 abonnés.

Le site Educ Num a également eu 100 000 visiteurs en 2017. Et une nouvelle édition des Incollables « Ta vie privée c’est secret ! », avec les Editions PlayBac, a connu un grand succès auprès des jeunes.

Les demandes d’informations et de conseils reçues par la CNIL émanant de particuliers portent principalement sur :

• la surveillance au travail (vidéosurveillance, géolocalisation, cybersurveillance, etc.) ;
• la suppression d’informations sur internet ;
• la réception intempestive de publicités (par sms, téléphone, courrier électronique).

Demandes de droit d’accès indirect : un léger infléchissement du nombre de demandes, sans doute provisoire, mais des vérifications en hausse

En 2017, la CNIL a reçu 4 039 demandes de droit d’accès indirect qui ont donné lieu à plus de 8000 vérifications. Ces demandes reçues représentent un total de 7170 vérifications à mener concernant par ordre d’importance : le fichier TAJ des antécédents judiciaires de la police et de la gendarmerie, le fichier FICOBA de l’administration fiscale, et les fichiers de renseignement. 49 % des demandes reçues ont porté sur le fichier TAJ (1979 demandes).

Cette évolution s’explique par :

• La mise en place depuis 2016 d’un droit d’accès direct des héritiers à Ficoba ;
• La possibilité pour les services de police français de procéder, sous certaines conditions, à des échanges d’informations sur les données de ce fichier avec leurs homologues étrangers dans le cadre d’enquêtes administratives. Cette procédure évite aux personnes de devoir exercer leur droit d’accès indirect, puisque les données sont directement échangées entre les autorités compétentes. La CNIL avait reçu en 2016 400 demandes de ressortissants français souhaitant travailler sur le territoire suisse.
• Le nombre plus restreint de mesures dans le cadre des prolongations successives de l’état d’urgence (assignations à résidence, perquisitions administratives).

Mais, compte tenu de l’élargissement constant du périmètre des enquêtes administratives et du nombre croissant de fichiers consultés, la CNIL prévoit pour l’année 2018 une augmentation des demandes de droit d’accès indirect. Par exemple, le dispositif « grands événements » adopté en avril 2017 prévoit que toute personne autre qu’un spectateur ou un participant, notamment lestechniciens, fournisseurs, prestataire de services, journalistes, sponsor, etc. accédant à un grand événement, est soumise à une enquête administrative.

Enfin, depuis la mise en place effective par le Conseil d’Etat d’une formation spécialisée pour le contentieux du droit d’accès indirect, la CNIL a produit 189 requêtes, en qualité d’observateur. La formation spécialisée a rendu 79 décisions concluant majoritairement au rejet des requêtes formulées par des personnes souhaitant un droit à communication des données enregistrées dans les fichiers vérifiés par un magistrat de la CNIL dans le cadre du droit d’accès indirect. 

En 2017, la CNIL a rendu 4124 décisions et délibérations dont 177 avis portant notamment sur différents champs d’activité :

• Les impôts : Les modalités de mise en œuvre de la réforme du prélèvement à la source de l’impôt sur le revenu ;
• La santé : le décret encadrant l’évolution de la procédure d’agrément des hébergeurs de données de santé au profit d’un dispositif de certification ;
• La régulation du numérique : le décret sur la confidentialité des correspondances électroniques dans lequel la CNIL rappelle que le consentement requière la manifestation d’une volonté libre, spécifique et éclairée ; la CNIL a rendu un avis sur le projet de loi relatif à la protection des données personnelles. Elle a insisté sur le nécessaire renforcement de la lisibilité de ce texte qui constitue une étape majeure pour la protection des données personnelles des citoyens et la sécurité juridique des acteurs économiques.
• La sécurité : la CNIL n’a pas été saisie du projet de loi renforçant la sécurité intérieure et la lutte contre le terrorisme mais elle a néanmoins choisi d’examiner ce texte en formation plénière. Elle a notamment estimé que les garanties relatives aux modalités de saisie et d’exploitation de données informatiques dans le cadre des visites et à la surveillance des communications hertziennes devraient être renforcées. Elle a demandé que des précisions soient  apportées concernant l’obligation de déclarer les numéros d’abonnement et les identifiants des moyens de communication électronique prévue dans certaines hypothèses, pour clarifier les finalités et garantir la proportionnalité de telles mesures.

La CNIL a rendu un avis en mai 2017 sur le traitement ACCRED (automatisation de la consultation centralisée de renseignements et de données) : elle a souligné que, pour garantir la stricte proportionnalité du dispositif, la liste des traitements susceptibles d’être consultés doit être adaptée aux nécessités spécifiques de l’enquête administrative réalisée.

La CNIL a également participé à une vingtaine d’auditions parlementaires et accueilli dans ses murs des parlementaires de l’Assemblée Nationale.

La permanence de renseignement juridique par téléphone de la CNIL a reçu 67 128 appels en 2017.

Au 1^er trimestre 2018, les consultations de « besoin d’aide » sur cnil.fr sont en très nette augmentation par rapport à 2017, avec  +64%.

Les professionnels peuvent d’ores et déjà s’appuyer sur de nombreux outils de préparation et de mise en conformité au RGPD, disponibles sur le site internet de la CNIL :

• La méthode en 6 étapes pour se préparer permet aux organismes de s’assurer qu’ils ont anticipé et mis en œuvre l’essentiel des mesures nécessaires pour être prêts en mai 2018.
• Un modèle de registre
• Le G29 (groupe des CNIL européennes) a déjà adopté plusieurs lignes directrices, qui assurent une compréhension et une interprétation communes des points clés du RGPD au niveau européen. Des lignes directrices relatives à l’autorité chef de file, au délégué à la protection des données, au droit à la portabilité et aux analyses d’impact relatives à la protection des données (AIPD), au profilage, à la notification des violations, ont déjà été adoptées.
• Des foires aux questions (FAQ) disponibles sur le site et dans la rubrique « besoin d’aide » permettent aux professionnels comme au public de prendre connaissance, rapidement et simplement, des principales nouveautés issues du RGPD.
• Des outils pratiques, comme le logiciel PIA, qui facilite la réalisation des analyses d’impact sur la protection des données, ou encore un modèle de registre (30 000 téléchargements).
• Un formulaire de désignation du délégué à la protection des données, etc.

Dès 2012, la CNIL a anticipé le règlement en développant des outils de conformité tels que le correspondant informatique et libertés, les labels, les études d’impact sur la vie privée ou les packs de conformité qui sont aujourd’hui consacrés. Les entreprises françaises ayant déjà intégré ces outils pourront aborder le règlement de façon plus sereine puisqu’elles ont déjà fait une bonne partie du chemin vers l’accountability, clé de voûte de la conformité à l’heure du règlement.  

Du CIL au futur délégué à la protection des données

Alors que la désignation d’un correspondant informatique et libertés est optionnelle, 18 800 organismes ont déjà désigné un CIL. Le règlement européen consacre la place du délégué en le plaçant au cœur des nouvelles obligations des professionnels, en véritable pilote de la conformité. On estime à 80 000 le nombre d’organismes qui devront désigner un DPO.

Les packs de conformité

Elaborés en étroite concertation avec les acteurs d’un secteur, ils permettent de promouvoir des bonnes pratiques et de décliner de façon opérationnelle les obligations. En 2017, deux packs, intégrant déjà les principes du RGPD ont été finalisés : les packs véhicules connectés et Silver économie.

Les labels

123 labels ont été délivrés depuis 2012.

En 2017, la CNIL a reçu 98 demandes de labels, ce qui constitue un nombre record. Afin d’anticiper l’entrée en application du RGPD, la CNIL a procédé à l’actualisation des référentiels « Gouvernance » et « Formation ».

Les contrôles

La CNIL a réalisé 341 contrôles en 2017, dont :

• 256 contrôles sur place (dont 47 contrôles portant sur des dispositifs vidéo).
• 65 contrôles en ligne
• 20 contrôles sur pièces et sur convocation, adaptés notamment aux organismes établis hors de France

Les actions menées par la CNIL en 2017 au titre de ses pouvoirs de contrôle et de sanction ont notamment tourné autour de trois axes :

1. La sécurité des données 

La CNIL reçoit chaque semaine un à deux signalements concernant des failles de sécurité. Pour chacun d’entre eux, les services vérifient la réalité de l’incident de sécurité et prennent des mesures afin qu’il soit résolu au plus vite. C’est ainsi que la CNIL a mis fin en 2017  à près de 80 violations de données (soit par des prises de contact avec le responsable de traitement, des contrôles, des mises en demeure ou des sanctions). Parmi ces incidents de sécurité, cinq ont donné lieu à des sanctions pécuniaires compte tenu notamment du nombre de personnes concernées ou de la nature des données (ex : Darty, Hertz France).

2. La défense des droits des personnes 

Un nombre conséquent de contrôles a été mené concernant directement le respect des droits des personnes (environ 15% des vérifications). Il s’est agi notamment de vérifier la prise en compte des droits de rectification ou d’opposition de plaignants. Environ 15% des mises en demeure de la CNIL concernent également ce point. On peut notamment citer la mise en demeure APB (article 10, information insuffisante et non-respect du droit d’accès). Enfin à deux reprises, la formation restreinte de la CNIL a pris des sanctions, une fois pour un défaut de réponse à une demande de droit d’accès (cabinet dentaire), l’autre pour non mise à jour des données (Carrefour Banque).

3. La coopération avec les homologues européens 

Dans la continuité des années précédentes, la CNIL a veillé à mener des actions sur des acteurs internationaux en coopération avec ses homologues européens. C’est en 2017 que la CNIL a rendu une sanction pécuniaire à l’encontre de la société Facebook concernant notamment l’absence de base légale à la combinaison massive de données et l’utilisation de dispositifs de traçage déloyaux (cookies DATR). Toujours sur la base d’une coopération européenne, la CNIL a également adopté deux mises en demeure publique contre WhatsApp (transfert massif de données sans consentement) et sur les jouets connectés conçus par une société chinoise. Enfin,  la CNIL a initié ses vérifications concernant la faille UBER.

Les contrôles ont été réalisés sur de nombreuses thématiques, et plus particulièrement dans le cadre du programme annuel sur :

• La confidentialité des données de santé traitées par les sociétés d'assurance : Il ressort des premiers éléments constatés que les organismes d’assurance, conscients de la sensibilité des données qu’ils traitent, ont mis en place certaines mesures de nature à préserver la confidentialité et la sécurité de telles données. Toutefois, la CNIL poursuit son analyse afin de déterminer si les garanties apportées sont suffisantes.
• Les fichiers de renseignement : Pour l’ensemble des fichiers (les fichiers dits de renseignement territorial, mis en œuvre par les services centraux et locaux de police et de gendarmerie, STARTRAC, PASP et GIPASP, EASP) les investigations menées ont principalement eu pour objet d’analyser les modalités de gestion des fichiers par les services centraux, et d’exploitation par leurs utilisateurs. Les constats ont plus particulièrement porté sur la doctrine d’utilisation de tels fichiers, la pertinence des données enregistrées, le respect des durées de conservation ainsi que les modalités de partage entre services de renseignement. Les constats opérés font actuellement l’objet d’une instruction par les services de la CNIL.
• Les télévisions connectées (« Smart TV ») : Les contrôles ont notamment permis de révéler la grande variété des données collectées par ces différents acteurs telles que les coordonnées du téléspectateur couplées à l’historique détaillé des programmes visualisés. La CNIL poursuit ses travaux afin de déterminer si les données ainsi collectées sont proportionnées aux finalités poursuivies, si les durées de conservation appliquées sont justifiées, et si l’information des téléspectateurs ainsi que les mesures de sécurité mises en œuvre sont suffisantes.

Les irrégularités récurrentes en matière de vidéoprotection portent sur :

• l’information du public (panneaux absents, peu lisibles ou incomplets) ;
• le non-respect de l’interdiction de filmer l’intérieur des immeubles d’habitation ;
• le non-respect des durées de conservation ;
• la sécurité (accès aux images et aux enregistrements insuffisamment protégé) ;
• l’autorisation préfectorale (défaut d’autorisation ou autorisation expirée).

Le programme des contrôles 2018 sera examiné en séance plénière le 12 avril.

Les sanctions

La logique de la loi et son application par la CNIL visent avant tout la mise en conformité des organismes mis en cause. A chaque phase d’instruction d’une plainte et/ou d’un contrôle, ceux-ci ont la possibilité de suivre les mesures recommandées par la CNIL pour se mettre en conformité. Dans l’immense majorité des cas, la simple intervention de la CNIL se traduit par une mise en conformité de l’organisme.

79  mises en demeure ont été adoptées en 2017 portant notamment sur les jouets connectés, APB, la transmission de données de Whatsapp à Facebook. 59 mises en demeure relevaient des manquements à la sécurité.

14 sanctions ont été prononcées par la formation restreinte, dont 9 sanctions pécuniaires et 5 avertissements. 4 sanctions ont porté sur la non coopération avec la CNIL et 8 sanctions concernaient des manquements à la sécurité.

Chargée par la loi pour une République numérique de mener une réflexion sur les questions éthiques et de société posées par les nouvelles technologies, la CNIL avait choisi en 2017 le thème des algorithmes à l’heure de l’intelligence artificielle.

Elle a publié, le 15 décembre dernier, le rapport de synthèse du débat public ouvert et décentralisé qu’elle a animé de janvier à octobre 2017 et ayant impliqué 60 partenaires partout en France (institutions publiques, associations, entreprises etc.).

La CNIL a ainsi proposé deux principes qui pourraient s’inscrire dans une nouvelle génération de garanties et droits fondamentaux à l’ère numérique, des « droits-système » organisant la gouvernance mondiale de notre univers numérique :

• Un principe de loyauté des systèmes d’IA selon lequel tout algorithme, qu’il traite ou non des données personnelles, devrait être loyal envers ses utilisateurs, non pas seulement en tant que consommateurs, mais également en tant que citoyens, voire envers des communautés ou de grands intérêts collectifs dont l’existence pourrait être directement affectée ;
• Un principe de vigilance, s’appliquant à l’ensemble des maillons de la « chaîne algorithmique » (développeurs, entreprises, utilisateurs), consistant à organiser une forme de questionnement régulier, méthodique et délibératif à l’égard des systèmes d’IA. Ce principe constitue une réponse directe aux exigences qu’imposent ces objets technologiques du fait de leur nature imprévisible, du caractère très compartimenté des chaînes algorithmiques au sein desquels ils s’insèrent et, enfin, de la confiance excessive à laquelle ils donnent souvent lieu.

Le rapport propose également la déclinaison opérationnelle de ces principes au travers de 6 recommandations à destination tant des pouvoirs publics que des diverses composantes de la société civile (entreprises, grand public, etc.) : former à l’éthique tous les acteurs impliqués dans les chaînes d’IA, rendre les systèmes algorithmiques plus compréhensibles, travailler le design desdits systèmes, constituer une plateforme nationale d’audit des algorithmes, encourager la recherche sur l’IA éthique et lancer une grande cause nationale participative autour d’un projet de recherche d’intérêt général et, enfin, renforcer la fonction éthique au sein des entreprises.