Alors que le projet de règlement européen sur la protection des données à caractère personnel vient d’être adopté par le Conseil européen en première lecture, la CNIL a publié le 8 avril 2016 son bilan d’activité relatif à l’année 2015 qui témoigne d’une hausse de son activité répressive et d’une prise en compte de la réforme européenne sur la protection des données à caractère personnel.

  • Une activité répressive en hausse

La CNIL a traité 7908 plaintes en 2015 et rompt avec la tendance plutôt stable connue depuis 2010 (en moyenne 5600 plaintes par an). Cette augmentation s’explique par l’amélioration du service de plaintes en ligne. D’ailleurs, plus de 65% des plaintes avaient été déposées via ce service. Les plaintes concernaient principalement les secteurs de l’internet et la téléphonie (36%) d’une part, et du commerce et du marketing d’autre part (26%).

L’année 2015 se caractérise par une forte augmentation du nombre de mises en demeure adoptées par la Présidente de la CNIL qui s’explique par la possibilité pour la CNIL d’effectuer des contrôles en ligne et par le fait que plusieurs manquements portaient sur l’utilisation des cookies, l’exploitation de sites internet tels que les sites de rencontres, les sites de tirage de photos ou de créations d’albums photo, les sites de conseil de santé en ligne, de crédit en ligne ou encore d’adhésion à des partis politiques.

La CNIL a réalisé 510 contrôles en 2015, dont 155 contrôles en ligne, soit 20% d’augmentation par rapport à 2014. La majorité de ces contrôles (41%) ont été effectués à l’initiative de la CNIL, le reste résultant essentiellement du programme annuel décidé par la Commission (35%) et s’inscrivant dans le cadre de l’instruction de plaintes (15%).

  • Des personnes physiques préoccupées de la protection de leurs données à caractère personnel

L’augmentation de l’activité répressive de la CNIL s’explique également par une sensibilisation accrue des utilisateurs notamment à l’égard de leur e-réputation puisque 36 % des plaintes concernaient des refus de retraits de contenus ou de déréférencement, consécutivement à l’arrêt Google Spain (CJUE, 13 mai 2014, C 131/12). Dans 76% des cas, les demandes de la CNIL ont été suivies, le solde restant faisant encore l’objet d’échanges entre la CNIL et les moteurs de recherche.

La demande d’exercice de droits d’accès indirects a eu également le vent en poupe en 2015, en lien avec l’instauration de l’état d’urgence portant sur le fichier des traitements d’antécédents judiciaires de la police et de la gendarmerie (TAJ) ainsi que les fichiers des services de renseignement du ministère de l’intérieur. La CNIL a traité 5 890 demandes de droit d’accès indirect, soit plus de 12% par rapport à 2014.

  • Les entreprises de plus en plus proactives

Selon la CNIL, 16 406 organismes ont désigné un correspondant informatique et libertés (CIL), soit 4 321 CIL désignés au total. Le projet de règlement européen qui prévoit l’obligation de désigner un délégué à la protection des données à caractère personnel (DPO) a certainement encouragé ces organismes à anticiper et à s’octroyer le temps d’expérimenter cette nouvelle fonction dans leur organisation d’ici l’entrée en vigueur du règlement.

Alors que le G29 s’apprête à donner son avis sur le projet d’accord « US-EU Privacy Shield » conclu entre la Commission européenne et les autorités américaines, la CNIL a examiné 1076 demandes d’autorisations de transfert en 2015 et indique que 78 groupes ont adopté des BCR (Binding Corporate Rules), qui constitueraient une alternative au « Safe Harbor », au même titre que les CCT (Clauses Contractuelles Types) face à la surveillance de masse des données à caractère personnel par les autorités américaines.

  • Quelles sont les nouvelles tendances technologiques de 2015 ?

Alors que les dispositifs de géolocalisation des salariés étaient principalement installés dans les véhicules, une nouvelle tendance a émergé en 2015 : la géolocalisation des salariés via des bracelets connectés ou des smartphones. Les employeurs ont également recours à des nouvelles techniques de vidéosurveillance de salariés via l’utilisation d’application installée sur leurs smartphones. Ces derniers seront donc débiteurs d’obligations spécifiques au titre de la loi « Informatique et Libertés » sous peine de sanctions pénales notamment.

La CNIL souligne le développement de l’utilisation des caméras embarquées sur des véhicules ou des personnes,ou caméras dites « boutonnières »,dont se dotent les agents de sécurité privée ou de police ou de gendarmerie et qui permettent parfois d’enregistrer les paroles des personnes filmées. Les municipalités ayant recours à ces dispositifs devront dans ce cas être particulièrement vigilantes, de même lorsque des zones privées sont filmées.

Quels sont les défis pour la CNIL à partir de 2016 ?

  • La réforme européenne sur la protection des données à caractère personnel

Un des défis principaux de la CNIL consistera à assurer la transition vers l’entrée en vigueur du règlement européen qui est sur le point d’être définitivement voté, en intégrant la dimension européenne dans son rôle de régulateur et en adaptant ses procédures, outils et rôle de formation plénière.

  • La transition numérique

Autre défi de taille : la CNIL doit faciliter la transition numérique des acteurs privés et publics, bien que cette transition soit déjà entamée via l’adoption d’outils d’auto-évaluation et de nouveaux labels ou référentiels.

  • Les courtiers de données ou « Data Brokers »

Au regard de l’importance que commencent à revêtir les « data brokers », cette nouvelle catégorie d’acteurs encore peu connue en Europe fera l’objet d’une réflexion par la CNIL. Ces professionnels du courtage de la donnée sont spécialisés dans la constitution de profils, permettant à des sociétés de mieux cibler leurs offres de biens et de services, grâce à une analyse des données. Cette activité n’est pas sans poser des interrogations notamment sur la transparence, l’information des personnes physiques concernées ou sur la sécurité des données.

  • Les véhicules connectés

Véritable opportunité pour les constructeurs , les fournisseurs automobiles et pour les professionnels de l’assurance notamment, les véhicules connectés posent deux questions essentielles, qui serviront de fil rouge à la CNIL dans l’élaboration du pack de conformité. La première est celle de la sécurité et la seconde est celle de l’accès aux données techniques, environnementales ou comportementales produites par le véhicule ou le conducteur. Les travaux de la CNIL sur le pack de conformité prendront en compte le règlement européen dont l’application est prévue en 2018 et plus particulièrement l’exigence de protection dès la conception (Privacy by design) ou celle de la portabilité des données.

  • Les objets autonomes ou robots

Même si les experts prévoient de réelles opportunités pour les drones ou encore les robots de transports de marchandise à l’horizon 2020, les robots médicaux notamment font déjà partie de notre environnement, ce qui n’est pas sans poser des questions en terme de sécurité des données et de respect de la vie privée d’autant que plus un objet est autonome, plus celui-ci est dépendant des données. C’est la raison pour la CNIL invite les acteurs concernés à intégrer la démarche de Privacy by design afin de d’organiser la gouvernance des données. La CNIL a également décidé d’inscrire le sujet des objets autonomes (ou robots) à son programme afin de nourrir une réflexion juridique et éthique de la robotique.

Voir aussi :

Compliance and the Cloud

Entry into force of Regulation mark of the European Union

Phone fraud: to word to salvation