La CNIL toujours plus mobilisée pour l'application du RGPD
La CNIL (Commission Nationale Informatique et Liberté) vient de publier son quarantième rapport d'activité, concernant l'année 2019, et a rappelé ses axes d'action pour 2020.
PublicitéL'année 2019 a été la première année civile entièrement sous le joug du RGPD (Règlement Générale européen sur la Protection des Données personnelles). Et elle a débuté par une amende record infligée par la CNIL (Commission Nationale Informatique et Liberté) à Google : 50 millions d'euros. Ce record contribue largement au montant des sept amendes infligées par la CNIL en 2019 : 51 370 000 euros. D'autant qu'une deuxième amende importante a été infligée la même année : 400 000 euros au groupe Sergic. Ce record est évidemment bien mis en avant par la CNIL dans son rapport d'activité 2019 qui vient d'être publié.
« La CNIL, alliée de confiance du quotidien numérique », sa nouvelle signature, accompagne ainsi une série de chiffres sur l'activité de l'autorité administrative indépendante. 14 137 plaintes ont été déposées (+27 % par rapport à 2018, +79 % sur cinq ans) auprès d'elle, dont 14,7 % sur le seul démarchage commercial (toutes formes confondues). 169 contrôles sur place ont été opérés, 53 en ligne, 45 sur pièces et 18 auditions menées au fil de l'année 2019. Aux sept amendes déjà mentionnées, il faut ajouter cinq injonctions sous astreinte, c'est à dire des obligations de se mettre en conformité dans un délai contraint avec paiement d'une amende par jour de retard.
Un record de montant cumulé d'amendes
A ces sanctions financières se sont ajoutées 42 mises en demeures (dont deux publiques), deux rappels à l'ordre et deux avertissements. La CNIL mentionne que la moitié des mises en demeure concerne le droit au déréférencement, le droit d'opposition et le droit d'accès. Sur l'ensemble des sanctions, les principaux manquements ayant entraîné une intervention punitive de la CNIL relève de la sécurité des données personnelles, de manquements à l'obligation d'information des personnes et des manquements aux durées de conservations des données. Il y a eu, en 2019, un cas de sanction pour non-respect du droit d'accès tel que défini par le RGPD.
Mais la CNIL n'est pas qu'une machine à sanctionner ou à menacer d'une sanction. Son rôle comprend une part importante d'information et de sensibilisation tant du public que des acteurs du numérique. Ainsi, son site web, qui vise à l'information générale du public, a reçu en 2019 huit millions de visites et 17 302 requêtes de type « besoin d'aide » (+2,5 % par rapport à 2018). Le MOOC « Atelier RGPD » compte 62 000 comptes. La CNIL a également reçu 2287 notifications de violations de données personnelles au fil de 2019. Le rôle pédagogique et d'accompagnement de la CNIL a été renforcé par le RGPD qui prévoit une plus grande responsabilité des acteurs et un moindre formalisme bureaucratique.
PublicitéLa coopération européenne au menu
La CNIL n'est pas non plus isolée. Le RGPD prévoit une plus grande intégration des différentes autorités en charge des données personnelles à travers l'Union Européenne. Ainsi 79 décisions finales ont été adoptées dans le cadre européen du « guichet unique » dont 10 où la CNIL a été « autorité chef de file ». Ce statut est donné lorsque l'organisme en question a son établissement principal européen en France. La CNIL a également participé, du fait que des Français étaient concernés, dans 32 procédures européennes où des homologues étaient chef de file. Par ailleurs, 596 dossiers de coopération concernant des plaintes ont été traités en 2019 de façon trans-européenne, dont 54 où la CNIL était chef de file.
La coopération européenne a permis d'adopter, en 2019, quatre nouvelles lignes directrices européennes. Celles-ci visent à expliciter des modalités concrètes d'application des principes définis dans le RGPD. Le Comité Européen de Protection des Données, qui réunit tous les homologues européens de la CNIL, a également lancé deux consultations publiques (protection des données dès la conception, critères du droit à l'oubli dans les moteurs de recherche), contribué à valider le protocole pour le transfert des données entre autorités publiques dans le domaine des services financiers, participé pour la première fois en tant qu'expert à une procédure devant la Cour de Justice de l'Union Européenne et procédé à l'évaluation annuelle du cadre juridique de transferts de données commerciales entre Union Européenne et Etats-Unis.
2020, l'année des cookies et du coronavirus
Le plan d'action 2020 de la CNIL a été rappelé à l'occasion du rapport sur l'année 2019. Débuté en juin 2019 suite à une série de plaintes, le plan d'action sur les cookies va bien sûr se poursuivre sur l'année 2020. Après des lignes directrices publiées en juillet 2019, une recommandation proposant des modalités opérationnelles précisant les modalités de recueil du consentement dans le courant de 2020.
Et, bien entendu, l'année 2020 est marquée par la crise sanitaire du Covid-19. Télétravail, continuité d'activité, données sanitaires pouvant être traitées par les employeurs... ont marqué des décisions de la CNIL. Celle-ci s'est efforcé également de traiter en priorité les demandes d'autorisation de projets de recherche portant sur le Covid-19. Enfin, la CNIL a été amenée à traiter, début 2020, les sujets relatifs aux actions gouvernementales : fichiers SI-DEP et Contact Covid ainsi que l'application StopCovid. Au fil de 2020, la CNIL va veiller à ce que les règles posées soient bien respectées.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire