Rapport d’activité 2019 : la CNIL « alliée de confiance du quotidien numérique »

Le rapport s’ouvre sur un constat, le RGPD est désormais « au cœur des préoccupations des Français et des Européens ». Un sondage IFOP d’octobre 2019 révèle que 68 % des citoyens sont sensibles à la question de la protection de leurs données. Parallèlement, 21 000 délégués à la protection des données supplémentaires ont été désignés (31 % de plus par rapport à 2018).

Hausse des plaintes

En 2019, la CNIL a reçu 14 137 plaintes, soit une augmentation de 27 % en un an, dont 20 % de plaintes transfrontalières. Elles concernaient principalement la publication de données sur internet (près d’un tiers), la prospection (14,7 % ; v. à ce sujet Dalloz actualité, 13 mai 2020, obs. C. Crichton) et la surveillance au travail (10,7 %). Les litiges liés au déréférencement sont en progression (+ 13 %), mais la CNIL a obtenu leur résolution dans 98 % des cas transmis aux moteurs de recherche. Plus généralement, la violation des données et le non-respect des droits des personnes sont des motifs récurrents des saisines. Les demandes liées à l’exercice indirect des droits restent en revanche relativement stables par rapport à 2018 (+ 6 %).

Stabilité de l’activité répressive

En 2019, la CNIL a effectué 300 contrôles (310 en 2018, v. Dalloz actualité, 19 avr. 2019, obs. P. Januel et Dalloz IP/IT 2019. 275, obs. N. Maximin ), 169 sur place, 53 en ligne, 45 sur pièces et 18 auditions. Sa présidente a prononcé 42 mises en demeure (49 en 2018), mais seulement 2 ont été rendues publiques (13 en 2018). Sa formation restreinte n’a infligé que 7 amendes (10 en 2018) pour un montant total de 51 370 000 € (et l’une d’entre elles s’élevait à 50 millions d’euros, v. Dalloz actualité, 28 janv. 2019, obs. N. Maximin). Les sanctions concernaient des atteintes à la sécurité des données, des manquements à l’obligation d’information des personnes ou aux durées de conservations et le non-respect du droit d’accès. On notera une augmentation des recours contentieux devant le Conseil d’État (27 en 2019, contre 16 en 2018).

Accompagner et devenir le référent incontournable

Dès 2018, la CNIL a aidé les professionnels à s’approprier le RGPD par la création de nombreux outils (FAQ, guides, référentiels, règlements types, modèle de registre, logiciel PIA, etc.). Elle a poursuivi cette démarche en 2019, en accentuant la sensibilisation des petites structures publiques ou privées (TPE-PME) et l’accompagnement des réseaux de délégués à la protection des données (DPO). Pour son action, la CNIL a privilégié la publication de contenus pédagogiques sur son site internet ou les partenariats avec les « têtes de réseau » et d’autres autorités de régulation, CADA ou DGCCRF par exemple. Elle a lancé une formation en ligne, laquelle s’enrichira prochainement de modules ciblés sur certaines pratiques sectorielles (santé, marketing, ressources humaines notamment) et a créé une plateforme pour les designers autour du RGPD. Mais en 2019, la CNIL a aussi élargi son champ d’action en veillant à l’information des particuliers sur des sujets dédiés à la vie quotidienne (jouets et objets connectés, applications mobiles, déréférencement), des professionnels de l’éducation et du jeune public. Enfin, elle a pleinement joué son rôle de conseil des pouvoirs publics et du Parlement. Elle a ainsi participé à 33 auditions et donné 117 avis sur des projets de textes (par ex. bioéthique, taxe sur les services numériques, projet de loi de finances et collecte des données sur les plateformes en lignes, communication audiovisuelle, lutte contre les contenus haineux sur internet).

Finalement, 2019 reflète l’ambition de la Commission de devenir une « alliée de confiance du quotidien numérique » (p. 11).

Enjeux pour 2020 et 2021

En 2020, la Commission nationale de l’informatique et des libertés envisage plusieurs actions : publier sa recommandation sur les cookies et autres traceurs en complément de ses lignes directrices du 18 juillet 2019 (v. C. Crichton, Dalloz actualité, 22 oct. 2019 et 11 sept. 2019 ; v. égal. Dalloz actualité, 15 mai 2020, obs. I. Gavanon et V. Le Marec), participer activement aux débats sur la reconnaissance faciale (p. 22) et sur l’identité numérique (p. 43), contribuer à l’amélioration du niveau de sécurité des entreprises (p. 40), diffuser sa doctrine en matière de données de santé (p. 35 et communiqué du 11 juin 2020) et bien évidemment se mobiliser pour apporter des réponses face à la pandémie du virus covid-19. Après s’être prononcée dans l’urgence sur les projets de décrets (v. C. Crichton, Dalloz actualité, 28 mai 2020 et 28 avr. 2020 ; v. égal. C. Zorn, Dalloz actualité, 12 mai 2020 et 26 mai 2020), la CNIL a entamé, le 4 juin, une campagne de contrôles des fichiers SI-DEP, Contact Covid et de l’application StopCovid. Signalons également la publication, le 2 juin, en collaboration avec le Défenseur des droits, de recommandations afin de prévenir et lutter contre les biais discriminatoires des algorithmes.

Enfin, le rapport mentionne cinq axes stratégiques qui permettront à la Commission, d’ici 2021, de « construire des solutions durables respectueuses des textes et appliquées par tous, pour poser un cadre sécurisant pour les entreprises et les consommateurs » :

• donner la priorité aux enjeux numériques de la vie quotidienne des Français ;

• assumer une régulation équilibrée de la protection des données entre répression et accompagnement ;

• offrir une expertise publique de pointe sur le numérique et la cybersécurité ;

• incarner un service public innovant et rassemblé autour de ses valeurs ;

• prendre une part active à la géopolitique internationale de la donnée. Le RGPD a eu un rayonnement mondial mais est en concurrence avec d’autres modèles. Il convient désormais de composer avec de nouveaux acteurs majeurs notamment en Asie. Pour défendre ses valeurs et l’acquis européen, la CNIL entend s’engager dans une véritable « diplomatie de la donnée » (p. 26).