À l’occasion de la publication de son rapport d’activité 2018, la CNIL fait un premier bilan de l’entrée en application du RGPD et fixe ses enjeux pour l’année 2019

Paru dans le N°272 - 25 avril 2019
Institutions

En application de l’article 11, II de loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés(1), la Commission nationale de l’informatique et des libertés (CNIL) a publié son rapport d’activité pour l’année 2018(2) le 15 avril 2019.

L’activité de la Commission en 2018 a été fortement déterminée par l’entrée en application du Règlement général sur la protection des données(3) (RGPD) le 25 mai 2018 à laquelle elle s’était préparée dès 2016. Dans ce contexte, elle s’est positionnée en tant qu’interlocuteur principal des professionnels confrontés aux nouvelles règles encadrant le traitement des données personnelles, et a anticipé un accroissement significatif du volume de demandes d’information par la diffusion de guides explicatifs, de logiciels d’analyse d’impact sur la protection des données et d’outils méthodologiques d’accompagnement en ligne. Le site de la CNIL a ainsi enregistré 8 millions de visites en 2018, soit une augmentation de 80 % par rapport à l’année précédente. Les plateformes de consultation téléphonique et en ligne ont également été considérablement sollicitées, affichant respectivement des taux de fréquentation en hausse de + 22 % et + 59 %.

Au delà de cette activité d’accompagnement des professionnels dans leur processus de mise en conformité aux nouvelles règles issues du RGPD, la CNIL a identifié une sensibilisation accrue des citoyens aux problématiques relatives à la protection des données personnelles. En atteste l’affluence exceptionnelle de plaintes enregistrées en 2018 avec un total de 11 077 plaintes, soit une hausse de 32,5 % par rapport à 2017. Le rapport souligne que plus d’un tiers des procédures concernaient des demandes de suppression de données sur internet.

En outre, l’activité de contrôle et de sanction de la CNIL s’est vue renforcée par de nouvelles prérogatives introduites par le paquet européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ainsi que la loi du 20 juin 2018 relative à la protection des données personnelles(4) modifiant la loi Informatique et Libertés. Le Président de la CNIL peut désormais ordonner à un responsable de traitement de « communiquer à la personne concernée une violation de données à caractère personnel ». La formation restreinte de la Commission peut « prononcer une injonction de mettre en conformité le traitement avec les dispositions règlementaire », pouvant être assortie d’une astreinte financière journalière.

La CNIL a procédé en 2018 à 310 contrôles. Son champ d’action s’étendait de la vérification des modalités de surveillance des usagers sur la voie publique à l’utilisation des services en ligne, en passant par le contrôle de la confidentialité des données de santé traitées par les sociétés d’assurance. Des sanctions pécuniaires ont été prononcées à l’encontre de responsables de traitement de données à caractère personnel, tels qu’Uber, Bouygues Télécom ou encore Dailymotion à l’occasion du contrôle de la sécurisation des données. Plusieurs mises en demeure de la CNIL ont concerné les secteurs de l’assurance ainsi que du ciblage publicitaire, et plus généralement des « data brokers » – les courtiers en données.

Le rapport est l’occasion pour la CNIL de proposer une analyse de plusieurs phénomènes actuels, à l’exemple de la blockchain – technologie de mise en réseau de données relatives à des transactions – au regard de la protection des données et de rappeler les obligations qui s'imposent aux responsables du traitement d’informations à caractère personnel. Plusieurs enjeux sont également identifiés pour l’année 2019, notamment la réglementation des assistants vocaux, la confrontation du stockage des données en ligne via le cloud computing au RGPD, mais aussi l’accès aux données en ligne dans le cadre de la recherche.

Enfin, la CNIL prévoit d’articuler son action pour l’année 2019 selon trois axes :
- « réussir la mise en œuvre effective du RGPD pour les particuliers et les professionnels ;
- développer la capacité d’expertise technique et prospective de la CNIL ;
- conserver un rôle moteur au niveau européen et international
 ».

Informations légales | Données personnelles