CNIL : rapport d’activité 2017 et enjeux 2018

Isabelle Falque-Pierrotin, la présidente de la CNIL, a présenté en avril dernier le bilan de l’activité 2017 de la Commission ainsi que les enjeux pour l’année en cours. 2017 s’est caractérisée par une préparation active de la transition vers le règlement général sur la protection des données (RGPD), qui entre en vigueur le 25 mai 2018. Tout en répondant aux multiples demandes des organismes privés et publics dans ce domaine, la CNIL a dû également poursuivre ses autres activités et traiter un nombre record de plaintes et demandes d’information.

La CNIL au service des citoyens

« Cette année, il me paraissait important d’apporter un éclairage un peu précis sur ce que la CNIL fait pour le grand public », a commencé la présidente de la Commission. Et Xavier Delporte, en charge de cette partie de la présentation, d’expliquer : « la CNIL ne s’intéresse pas qu’aux professionnels, mais aussi à nos concitoyens dans l’idée de les aider à mieux maîtriser le sort qui est réservé à leurs données personnelles ».

D’abord, grâce au site internet de la CNIL qui a reçu en 2017, 1,8 million de visites supplémentaire, soit 4,4 millions de visites au total. Le service d’aide en ligne « Besoin d’aide » a reçu 14 701 demandes (+21 % par rapport à 2016). Pour rappel, la CNIL propose sur son site de nombreuses fiches pratiques et conseils à destination des particuliers : les conseils pour un bon mot de passe (article le plus lu), jouets connectés, utilisation d’un WIFI public… La Commission propose aussi à destination des plus jeunes des vidéos, « dans un style un peu moins institutionnel », a expliqué Monsieur Delporte « car la maîtrise de ses données commence dès le plus jeune âge ». Ainsi, la vidéo « Protéger sa vie privée en 6 étapes » réalisée par Le Rire Jaune, en partenariat avec la MGEN a atteint plus de quatre millions de vues sur YouTube.

En ce qui concerne les plaintes, la Commission en a reçu pas moins de 8 360, un record. 27 % d’entre elles concernent la diffusion de données personnelles sur Internet (sites, blogs, réseaux sociaux…) et notamment leur suppression ou leur rectification, indique le document de présentation du rapport d’activité 2017 de la CNIL. Afin de sensibiliser les individus à la protection de leurs données, la CNIL diffuse de nombreux conseils pratiques à leur attention : réglage des paramètres de confidentialité, recours à des pseudonymes, fermetures des comptes non actifs… La Commission a ainsi reçu 335 demandes de référencement à la suite du refus de la part des moteurs de recherche. 25 % de ces plaintes concernent le secteur marketing/commerce et surtout la prospection par courriel, téléphone ou courrier. Pour agir plus efficacement contre les spams, la CNIL a modifié l’an passé ses méthodes d’instruction et renforcé sa collaboration avec l’association Signal spam. Cette dernière « centralise les signalements », afin que la CNIL puisse mieux identifier derrière les auteurs de spams, ont expliqué les intervenants de ce jour.

Parmi ces plaintes, 16 % concernent les ressources humaines (géolocalisation, vidéosurveillance excessive…), 12 % la banque et le crédit, et 8 % le secteur santé et social (difficulté à accéder à son dossier médical, Pôle emploi…). Ces diverses réclamations ont permis à la CNIL d’identifier des tendances émergentes comme : les objets connectés ; les dispositifs de lecture automatisée de plaque d’immatriculation, en lien avec la dépénalisation du stationnant payant ; l’accès aux messageries professionnelles des salariés absents ou ayant quitté l’entreprise ; la réutilisation par des sites internet des données des autoentrepreneurs publiées sur les annuaires professionnels, etc.

Concernant les demandes de droit d’accès indirect, la CNIL note un léger infléchissement du nombre de demandes, mais des vérifications en hausse. Elle a ainsi reçu 4 039 demandes qui ont donné lieu à plus de 8 000 vérifications. 49 % de ces demandes reçues ont porté sur le fichier TAJ des antécédents judiciaires de la police et de la gendarmerie, les autres sur le fichier FICOBA de l’administration fiscale, et les fichiers de renseignements.

La CNIL au service des pouvoirs publics

Dans un rapport de synthèse du rapport d’activité de la Commission, l’organisme indique avoir rendu 4 124 décisions et délibérations dont 177 avis portant notamment sur différents champs d’activité, tels que le prélèvement à la source de l’impôt sur le revenu, la santé, la régulation du numérique (la CNIL a ainsi rendu un avis sur le projet de loi relatif à la protection des données personnelles), la sécurité (même si la CNIL n’a pas été saisie du projet de loi renforçant la sécurité intérieure et la lutte contre le terrorisme, elle a néanmoins choisi d’examiner ce texte en formation plénière).

L’activité répressive de la CNIL

Le rôle de la Commission n’est pas seulement de protéger ou d’informer, elle a également le pouvoir de contrôler et de sanctionner si elle constate des manquements à la loi, ou sinon d’anticiper ces manquements. « La CNIL avance sur ses deux jambes, l’accompagnement d’une part, mais aussi l’activité répressive », a ainsi précisé Isabelle Falque-Pierrotin.

Ainsi, en 2017 la CNIL a réalisé 341 contrôles dont 256 contrôles sur place, 65 contrôles en ligne, 20 contrôles sur pièces et sur convocation.

Ceux-ci ont concerné les domaines suivants : la sécurité des données, elle a ainsi mis fin à près de 80 violations de données (5 ont donné lieu à des sanctions pécuniaires) ; les défenses des droits des personnes (environ 15 % des mises en demeure de la Commission ont concerné la non-prise en compte des droits de rectification ou d’opposition des plaignants) ; la coopération avec les homologues européens sur des acteurs internationaux - la CNIL a ainsi rendu une sanction pécuniaire à l’encontre de Facebook concernant l’absence de base légale à la combinaison massive de données et l’utilisation de dispositifs de traçage déloyaux.

Des contrôles ont également été réalisés dans le cadre du programme annuel sur la confidentialité des données de santé traitées par les sociétés d’assurance, les fichiers de renseignement (les constats ont porté avant tout sur la doctrine d’utilisation des fichiers, la pertinence des données enregistrées…), les télévisions connectées.

En ce qui concerne plus particulièrement les sanctions, il faut d’abord rappeler que l’objectif de la CNIL vise avant tout la conformité des organismes mis en cause. Ainsi, à chaque phase d’instruction d’une plainte ou d’un contrôle, avant que tombe la sanction, les intéressés ont la possibilité de suivre les mesures de recommandations de la CNIL, et dans l’immense majorité des cas, la simple intervention de la CNIL suffit.

En 2017, 79 mises en demeure ont été adoptées notamment sur des jouets connectés, Admission Post-Bac, la transmission des données de WhatsApp à Facebook. En outre, 14 sanctions ont été prononcées, dont 9 sanctions pécuniaires et 5 avertissements.

L’activité prospective de la CNIL

Enfin, « nous sommes attachés à ce qu’en même temps que nous régulons le présent nous essayions de bien comprendre le futur », a expliqué la présidente de la CNIL. Elle a de ce fait évoqué deux missions particulièrement intéressantes menées par la CNIL l’an passé : celui de la plateforme LINC (Laboratoire d’innovation numérique de la CNIL) sur la ville numérique, ainsi que les travaux menés sur l’intelligence artificielle.

À propos de ces derniers, Isabelle Falque-Pierrotin a déclaré : « on y propose les conditions permettant à notre pays de faire une proposition d’intelligence artificielle qui soit éthique, car respectant le droit des personnes ». « Nous sommes convaincus qu’il y a une possibilité pour la France et pour l’Europe de faire valoir cette approche éthique, et de le faire valoir comme un argument de différentiation concurrentielle sur le sujet, à l’heure où les Chinois, les Russes, les Américains sont en train de dire qu’ils vont gagner la bataille de l’intelligence artificielle », a-t-elle poursuivi.

Pour rappel, dans ses travaux, la CNIL a réfléchi sur les questions éthiques et de société posées par les nouvelles technologies, une mission dont elle avait été chargée dans le cadre de la loi pour une République numérique. Le 15 décembre dernier, la Commission a publié le rapport de synthèse du débat public ouvert et décentralisé qu’elle avait animé de janvier à octobre 2017 et ayant impliqué soixante partenaires dans tout l’Hexagone. Dans ce rapport, deux principes ont été proposés par la CNIL et pourraient s’inscrire dans une nouvelle génération de garanties et droits fondamentaux : un principe de loyauté des systèmes d’IA selon lequel tout algorithme devrait être loyal envers des utilisateurs en tant que citoyens, et envers des communautés ou grands intérêts collectifs ; un principe de vigilance qui s’applique à l’ensemble des maillons de la chaîne qui consiste à questionner régulièrement les usages et natures des objets technologiques. Dans ce document, la CNIL indique également six recommandations, parmi lesquelles : former à l’éthique tous les acteurs impliqués dans les chaînes d’IA, rendre les systèmes plus compréhensibles, constituer une plate-forme nationale d’audit des algorithmes, encourager la recherche sur l’IA éthique…

Pour l’année en cours, la CNIL s’est donnée pour missions : premièrement, d’accompagner les professionnels dans leur transition vers le RGDP (Règlement général sur la protection des données) jusqu’au 25 mai et après ; deuxièmement, de poursuivre ses efforts d’accompagnement en faveur de l’innovation, initiés depuis plusieurs années déjà.

Accompagner la transition vers le RGPD

Le RGPD  « est une énorme montagne » a affirmé la présidente de la CNIL lors de la présentation du rapport d’activité : « cela a occupé énormément de nos ressources en 2017, et ceci alors que l’activité traditionnelle de la CNIL continue » a-t-elle poursuivi. La Commission a en effet dû fournir d’immenses efforts d’organisation et d’adaptation internes pour répondre à toutes les sollicitations dont elle a été l’objet à ce sujet.

L’année dernière, la permanence de renseignement juridique de la CNIL a reçu plus de 67 000 appels à ce sujet. À noter que les professionnels peuvent s’appuyer sur de nombreux outils de préparation et de mise en conformité au RGPD, disponibles sur le site de la Commission : méthode en six étapes qui permet aux organismes de mettre en œuvre l’essentiel des mesures pour être prêts le 25 mai prochain, modèle de registre, adoption par le G29 (groupe des CNIL européennes) de plusieurs lignes directrices qui assurent une compréhension commune des points clés du RGPD au niveau européen, des foires aux questions permettant aux professionnels de prendre connaissance rapidement des principales nouveautés issues du RGPD, un formulaire de désignation du délégué à la protection des données, etc.

Rappelons que dès 2012, la CNIL avait déjà anticipé le règlement en développant des outils de conformité comme le correspondant informatique et libertés (CIL), les packs de conformité qui permettent de promouvoir de bonnes pratiques et de décliner de façon opérationnelle les obligations, des labels…

« Le 25 mai, nous devons être prêts, quand je dis "nous" c’est le régulateur et l’ensemble des acteurs concernés par ce règlement », a rappelé la présidente de la CNIL évoquant le passage éminent au nouveau règlement. « L’Europe joue gros dans ce règlement », a-t-elle ensuite précisé. Pourquoi ? « Car elle doit faire la démonstration en 2018, non seulement que ses principes éthiques et généraux sont bons, mais aussi faire la preuve que le nouveau dispositif est efficient… qu’il va apporter aux acteurs économiques, privés ou publics, les garanties, la sécurité juridique qu’ils sont en droit d’attendre ». L’enjeu est donc conséquent, car : « Si nous réussissons ce pari, alors nous aurons potentiellement un standard mondial ».

Cela explique pourquoi, depuis plusieurs mois déjà la Commission propose aux organismes publics ou privés un accompagnement pour leur permettre de comprendre au mieux ce que change le nouveau règlement. « Nous avons mené un effort pédagogique sans précédent à destination des acteurs pour que ceux-ci s’emparent du texte nouveau européen et en exploitent toutes les potentialités », a ainsi déclaré Isabelle Falque-Pierrotin lors de cet événement.

Cette mission d’accompagnement va se poursuivre après le 25 mai avec, entre autres, l’élaboration de référentiels au niveau européen. « Un effort d’harmonisation très volontariste au niveau du G29 » a donc été mené, a précisé la présidente.

Quant aux contrôles opérés après cette date, ils auront essentiellement pour objectif, dans un premier temps, d’accompagner les organismes dans une courbe d’apprentissage vers une bonne compréhension et la mise en œuvre opérationnelle du règlement.

Rappelons tout d’abord que le RGPD modifie profondément les obligations pesant sur les organismes, publics ou privés, qui traitent des données. La loi repose sur une logique de responsabilisation des instances qu’ils soient responsables de traitements – donneurs d’ordres – ou sous-traitants. Il s’agit d’un enjeu majeur en termes de confiance des personnes et, par conséquent, de compétitivité pour les entreprises.

Cette notion de responsabilisation (accountability) se traduit par l’affirmation de deux principes : la prise en compte de la protection des données dès la conception du service ou du produit et par défaut (en anglais principes de privacy by design et by default). Les organismes qui traitent des données devront ainsi : se doter, le plus souvent, d’un délégué à la protection des données, véritable chef d’orchestre de la conformité en interne (le règlement devrait se traduire par la désignation d’un délégué à la protection des données dans 80 000 à 100 000 organismes au minimum. Les administrations devront obligatoirement en désigner un, et de nombreuses entreprises aussi