Bilan 2016 de la CNIL, entre fichiers et enjeux européens

Bilan 2016 de la CNIL, entre fichiers et enjeux européens

La valse des chiffres

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

27/03/2017 9 minutes
5

Bilan 2016 de la CNIL, entre fichiers et enjeux européens

Dans son rapport annuel, le gardien des données personnelles indique avoir décompté plus de 7 700 plaintes en 2016, qui viennent s'ajouter à son important travail réglementaire. La CNIL se verrait bien aux manettes du débat sur l'éthique dans l'intelligence artificielle, alors que les entreprises doivent se préparer au futur règlement européen sur les données.

Entre les nouveaux textes législatifs et le poids de plus en plus important de certains fichiers, la CNIL a eu une année 2016 chargée. Le gardien des données personnelles vient de publier son rapport avec des chiffres à foison sur ses missions.

Le document prépare surtout une année 2017 importante, avec la préparation des entreprises françaises au nouveau règlement européen sur la protection des données (RGPD, GDPR en anglais), qui entre en vigueur en mai 2018 et la défense du chiffrement, toujours aussi attaqué.

Concrètement, la Commission compte 3 078 décisions et délibérations, dont 190 autorisations, 145 avis (notamment sur les six décrets d'application de la loi Lemaire), 1 976 autorisations de transfert de données hors Union européenne (+83 % face à 2015) et 697 autorisations en santé. 316 autorisations en biométrie ont été délivrées, avec neuf refus. Elle a reçu 102 629 dossiers de formalité, dont 54 000 versions simplifiées.

Côté vidéosurveillance, la CNIL dit avoir reçu 14 734 déclarations de systèmes. 94 contrôles ont été menés, avec des mises en conformité au besoin. Les manquements estimés habituels concernent l'absence ou l'expiration de l'autorisation préfectorale, l'absence ou la non-conformité du signalement des caméras ou des images pas assez protégées.

7 370 autres déclarations reçues concernaient des dispositifs de géolocalisation. Ce large travail administratif n'est qu'une partie des missions de la Commission, qui doit aussi contrôler l'accès et le traitement des données.

Des fichiers de police et justice très chronographes

En 2016, l'institution a reçu 7 703 plaintes, soit une légère baisse face à 2015 (7 908). Un tiers concerne la diffusion de données personnelles sur Internet, affirme la Commission, qui estime que leur suppression et rectification « reste une démarche difficile ». Sur cet ensemble, un tiers concerne le marketing et le commerce, devant d'autres secteurs comme les ressources humaines, la banque, le crédit ou le secteur de la santé.

plaintes CNIL 2016
Crédits : CNIL

Le droit à l'oubli, qui permet de contrôler le référencement de ses données, tient une place importante. L'institution a traité 410 plaintes de refus de référencement sur les moteurs de recherche ; plus de 1 000 depuis juin 2014. 30 % ont donné lieu à une demande auprès des moteurs, qui ont été appliquées à 75 %.

Le gros morceau reste pourtant les demandes d'accès indirect aux fichiers de l'État, que ce soit ceux de la police ou financiers. 4 379 demandes les concernent, dont 54 % pour le fichier des antécédents judiciaires (TAJ), soit 34 % de plus sur un an. « La croissance s’explique aussi par la réception en 2016 de 400 demandes de ressortissants français souhaitant travailler sur le territoire suisse dans le domaine de la sécurité » détaille l'entité, qui affirme que cette obligation a laissé place à une procédure automatisée fin 2016. Ces fichiers d'antécédents sont suivis du fichier FICOBA de l'administration fiscale.

Près de 8 000 vérifications menées en un an

7 909 vérifications ont été effectués par la Commission. Parmi elles figurent 430 contrôles, dont 100 ont été menés en ligne et 94 en vidéo. Ils ont donné lieu à 82 mises en demeure, 13 sanctions, dont quatre financières et publiques, ainsi que neuf avertissements. Certaines des dernières cibles se nomment Attractive World, Meetic ou encore Cdiscount.

Au total, la Commission a compté 166 565 appels, 21 718 courriers et 13 231 requêtes par voie électronique. Les agents ont par ailleurs mené 220 interventions publiques et délivré 97 labels, dont le premier pour un « coffre-fort numérique », alors que La Poste se positionne sur le sujet avec Digiposte+. En parallèle, 17 725 organismes ont désigné un correspondant Informatique et libertés (pour un total de 4 729).

Des volumes importants pour 195 employés (63 % de femmes, notons-le), d'autant que les nouveaux sujets ne manquent pas. Isabelle Falque-Pierrotin annonce donc clairement la couleur : elle veut voir évoluer ses moyens à la hausse, alors qu'elle doit bientôt récupérer des missions de l'Arcep.

Des mises en demeure et de nombreux textes

Au-delà de tous ces chiffres, les événements marquants se sont enchaînés pour la Commission, alors que ses missions dépendent de plus en plus directement de l'Union européenne. Le 9 février, la CNIL a par exemple adressé une mise en demeure publique à Facebook. Elle est suivie le 24 mars par une sanction de 100 000 euros contre Google, puis le 20 juillet par une mise en demeure contre Microsoft concernant Windows 10.

L'an dernier a aussi été rythmé par l'enquête au long cours sur les éditeurs de presse, accusés de ne pas respecter la loi CNIL, notamment en matière de cookies. Alors qu'ils étaient la cible première de la Commission, l'enquête a été étendue le 27 juillet à certains acteurs publicitaires, qui gèrent une large part des espaces des sites de presse. Deux jours plus tard, le groupement des CNIL européennes (le G29) rendait son avis sur le Privacy Shield, qui encadre le transfert des données des Européens outre-Atlantique ; un texte entré en vigueur le 1er août.

Autre texte important : la loi Numérique, portée par Axelle Lemaire. Elle renforce le droit à l'oubli (en l'étendant aux mineurs), permet d'appliquer ses droits par voie électronique et, plus généralement, amène de nouveaux droits et obligations aux entreprises.

L'un de ses buts est aussi d'anticiper le règlement européen sur la protection des données (RGPD), qui renforcera fortement la législation au 25 mai 2018. Il intègre, pêle-mêle, plus de transparence sur le traitement des données, des amendes plus forte en cas de manquement (4 % du CA mondial), un droit à la portabilité entre les services, une meilleure protection des enfants et la prise en compte d'actions collectives. Il sera accompagné d'ePrivacy sur les données qu'il ne couvrait pas directement lui-même (voir notre analyse).

CNIL fichiers 2016
En 2016, le contrôle des fichiers « publics » reste une part importante du travail - Crédits : CNIL

Biométrie et chiffrement comme grandes inquiétudes

Malgré tout cela, l'un des grands chantiers reste la biométrie, avec l'avènement du fichier TES, qui regroupe carte d'identité et passeport biométrique sous un même toit. Un dispositif mis en marche un week-end de pont, sans réel contrôle de la CNIL ou de l'Agence nationale de sécurité des systèmes d'information (ANSSI)... qui ont par la suite émis de nombreuses réserves sur le système (voir notre analyse).

Elle précise donc sa doctrine en matière de la biométrie, entre autres avec avec des lignes directrices qui anticipent les nouvelles obligations du règlement européen (qui demande une documentation, voire une étude d'impact).

Dans son rapport, le gardien des données personnelles réitère sa défense du chiffrement, « devenu une mesure essentielle de protection de la vie privée et de sécurité des données ». Il n'en assure pas que la confidentialité, mais aussi l'authenticité et l'intégrité du message. L'institution rappelle notamment les « dispositions nombreuses » permettant l'accès des autorités aux données chiffrées.

Parmi elles figurent les réquisitions de données, les perquisitions et saisies, la fourniture des clés de chiffrement ou des versions déchiffrées, le recours à des experts et l'ensemble des moyens légaux qui existent déjà pour le contourner. Le mythe d'une justice démunie face au chiffrement se fait donc étriller par la Commission. Rappelons que l'Agence nationale de sécurité des systèmes d'information (ANSSI) rejette également l'idée de portes dérobées, prônant déjà une meilleure application des moyens existants.

Rappelons que la CNIL fournit par ailleurs des guides pour chiffrer ses appareils et communications, comme nous avons également entrepris de le faire.

En 2017, le besoin d'une nouvelle loi CNIL

L'année 2017 déjà bien entamée, la CNIL fournit ses orientations pour les mois à venir. En tête des nouveaux sujets s'affichent la confidentialité des données de santé détenues par les sociétés d'assurance, le contrôle des fichiers de renseignement ainsi que les TV connectées (contrôle des données collectées et leur traitement).

Le grand chantier est tout de même européen. Il s'agit de préparer le passage des entreprises françaises au RGPD, qui nécessite une responsabilisation et une adaptation rapide des professionnels. Cette transition est « une priorité absolue » pour Isabelle Falque-Pierrotin, la présidente de la Commission. Les lignes directrices du G29 doivent y contribuer.

Elle accompagne aussi les partis et candidats à la présidentielle sur le traitement des données, entre autres via des recommandations et un guide pratique. L'institution souligne surtout le besoin d'une nouvelle loi informatique et libertés qui fasse écho au règlement, qui s'appuie sur un droit national encore incomplet dans l'Hexagone ; 57 passages du RGPD feraient référence à des dispositions nationales.

Il faut ainsi abroger des articles doublons avec le règlement européen et redéfinir certaines actions de la Commission, notamment pour prévoir « l'européanisation des procédures » répressives. Elle accompagne aussi une directive sur les fichiers « police-justice », qu'il reste à transposer. Le tout doit être réglé avant l'été pour une application dès l'année prochaine, mais le calendrier électoral pourrait venir perturber cet espoir. 

La place du citoyen dans la ville numérique est, aussi, un domaine de réflexion affiché par l'institution. Dans son rapport, elle revient sur l'enjeu de l'open data, avec l'équilibre nécessaire entre ouverture des données publiques et protection de la vie privée des citoyens. Elle met en exergue l'obligation d'un accord des personnes concernées, avec des données anonymisées.

À plus long terme, la CNIL lance le débat sur l'éthique des algorithmes et de l'intelligence artificielle. Ce sujet est d'autant plus brûlant qu'il est un objectif technologique affiché par la France, entre autres au travers de France IA qui vient de publier son premier rapport (voir notre analyse). Rappelons que la Commission a lancé l'an dernier LINC, son laboratoire avec de nombreux articles de prospective sur ces domaines.

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des fichiers de police et justice très chronographes

Près de 8 000 vérifications menées en un an

Des mises en demeure et de nombreux textes

Biométrie et chiffrement comme grandes inquiétudes

En 2017, le besoin d'une nouvelle loi CNIL

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (5)


Et au niveau des effectifs, ils sont stables ou pas ?



J’ai fait plusieurs plaintes ces derniers mois. Et j’ai vraiment senti une différence de suivi par rapport à quelques années en arrière. Auparavant on avait différents courriers selon la progression, jusqu’à la clôture du dossier. Là, à part les accusés de réception automatiques, rien, on ne sait pas s’ils la traitent, s’il y a un contact avec l’entité concernée, si c’est classé sans suite… Et sur leur site on ne peut même pas consulter son “historique”, où on pourrait au moins voir un statut.



La CNIL est très présente sur les sujets “médiatiques” de prospective, la biométrique, l’IA, etc.. Mais sur les sujets du quotidien, j’ai vraiment l’impression que c’est à l’abandon, qu’il y a personne, même pas un stagiaire, qui traite ces dossiers !


Elle porte notamment le montant maximal des amendes CNIL de 150 000 à trois millions d’euros…



c’est bcp., et peu !

TOUT dépend QUI écope de la “prune” ?&nbsp;<img data-src=" />


En même temps payer 3M d’€uros quand tu gagnes 2 000M en vendant les données de tes abonnés, c’est peanuts;

&nbsp;

Il aurait bien mieux valu une amende en %tage du C.A. sur la période considérée pour que ça fasse vraiment mal au portefeuille du contrevenant&nbsp;&nbsp; …&nbsp;&nbsp; et qu’il ne recommence plus.


Patience, on y vient : la CNIL pourra imposer des amendes administratives d’un montant allant jusqu’à 4% du CA de la boite &nbsp;….à compter du 25 mai 2018


là….d’accord ! <img data-src=" />