Formations et audits Informatique et Libertés

Des professionnels en conformité Informatique et Libertés : formation, audit, formalités cnil, contrôle cnil et l’application Data Privacy Manager dédiée au CIL

Dictionnaire juridique

Le Bilan de la CNIL : nouveau record des plaintes et des contrôles

Rapport d’activité 2011 de la CNIL

Vous êtes ici : Accueil > Actualités

mardi 18 septembre 2012

Le 32ème rapport d’activité de la CNIL pour l’année 2011 a été publié le 10 juillet dernier. Ce rapport fait notamment le bilan sur une activité toujours croissante de l’autorité de contrôle, ses nouvelles missions et les perspectives pour 2012-2013.

Un nombre record de plaintes

En 2011, la CNIL a enregistré le nombre de plaintes le plus élevé depuis sa création : 5738.

La Commission a constaté que son service de plaintes en ligne, disponible depuis 2010, a contribué partiellement à cette hausse (en 2011 : 26% des plaintes ont été reçues via le site cnil.fr et depuis le début de l’année 2012, ce chiffre est déjà supérieur à 40%).

Au-delà de ce volume important, la CNIL a dressé les nouvelles typologies quant à l’objet des plaintes :

  • 1 000 plaintes enregistrées (progression de 42% par rapport à 2010) pour l’exercice du « droit à l’oubli » sur internet (suppression de textes, photographies ou vidéos en ligne) ;
  • 670 plaintes liées à la gestion des ressources humaines représentent (12% du total des plaintes). La moitié de ces plaintes concerne spécifiquement la surveillance des salariés, avec une hausse de 59 % des plaintes relatives à la cybersurveillance (contrôle de l’utilisation des outils informatiques et de l’accès à la messagerie électronique).

Enfin, classiquement, il subsiste un nombre important de plaintes concernant les fichiers commerciaux (gestion des fichiers clients ou envoi de publicité), ainsi que dans les secteurs de la banque et du crédit.

Des compétences élargies en matière de vidéoprotection

Alors que la CNIL contrôlait que les dispositifs de vidéosurveillance dans les lieux non- ouverts au public, depuis la LOPPSI 2 du 14 mars 2011, elle est également compétente pour contrôler les dispositifs de vidéoprotection pour les lieux ouverts au public et la voie publique.

Une nouvelle mission : la notification des violations de données à caractère personnel

Cette deuxième extension de compétences a pour origine la transposition en droit interne de la directive européenne révisant le « paquet télécom » qui impose aux fournisseurs de services de communication électronique d’informer la CNIL en cas de violation de l’intégrité ou de la confidentialité des données à caractère personnel qu’ils traitent.

Cette obligation de notification a été précisée par le décret d’application du 30 mars 2012, qui précise que la CNIL peut exiger que le fournisseur avertisse les personnes concernées en cas de risque d’atteinte aux données à caractère personnel ou à la vie privée de la personne.

Selon la Commission, « cette compétence nouvelle, dont l’ampleur n’est pas encore connue va impacter l’activité de la CNIL et exiger une réactivité et une expertise technologique renforcées ».

A noter également que le projet de règlement européen sur la protection des données [1], qui doit remplacer la norme européenne en la matière et se substituera donc la loi Informatique et Libertés, prévoit la généralisation de cette obligation de notification en cas de violation de données à caractère personnel.

Chiffre et typologie des contrôles

La CNIL a réalisé 385 contrôles en 2011, soit une augmentation de 25 % par rapport à l’année 2010.

Au niveau de l’origine de ces contrôles, il est intéressant de noter que 40 % d’ente eux ont été réalisés dans le cadre du programme annuel de la CNIL. Ainsi, à titre d’exemple :

  • Plus d’une vingtaine de contrôles ont concerné des traitements de données de santé au sein d’établissements de soins (cliniques, hôpitaux, etc.), d’hébergeurs de données de santé, d’agrégateurs de données médicales, etc.
  • Une vingtaine de contrôles au niveau de la relation client et de la prospection commerciale ont principalement concerné des sites de commerce en ligne (problématique du nouveau régime juridique des « cookies »), des prestataires en matière de marketing (routeurs et agences de publicité), ainsi que des entreprises intervenant dans la gestion de données clients ou prospects.
  • Une dizaine de contrôles ont été effectués auprès d’agences de recherche privée et de recouvrement. A ce titre, la CNIL a constaté que les contrôles et les sanctions adoptées dans ce secteur en 2006 avaient « fortement structuré ce milieu professionnel dont les acteurs se sont, par exemple, largement dotés de Correspondants Informatique et Libertés ».
  • Une quinzaine de contrôles ont été réalisés auprès de multinationales basées en France qui avaient obtenu des autorisations de transfert hors de l’Union européenne.

Ensuite, 24 % des contrôles ont été opérés dans le cadre de l’instruction de plaintes, 11 % dans le cadre de procédures de sanction et 25 % en réaction à des sujets d’actualité (notamment suite à la révélation de failles sécurité).

L’année 2011 fut également l’occasion de nouveaux contrôles dans le cadre de partenariats que la CNIL a passé avec d’autres autorités administratives.
Ainsi, dans le cadre de sa coopération avec la Direction générale de la concurrence, de la consommation et de la répression des fraudes (protocole signé le 6 janvier 2011), des échanges d’informations ont permis l’intervention de la CNIL, soit par l’envoi de courriers, soit par des procédures de contrôle sur place, auprès de sites internet sur lesquels les enquêteurs de la DGCCRF avaient relevé des manquements.

Enfin, la CNIL a également effectué un certain nombre de contrôles sur la base de signalements venant de l’Inspection du travail ou de saisines du Défenseur des droits.

Les perspectives pour 2012-2013

« La CNIL est aujourd’hui à une étape décisive de son évolution ». Elle doit en effet faire face aux mutations structurelles liées au développement du numérique, et prendre en considération le futur cadre de la protection des données en Europe (projet de règlement européen), qui devrait simplifier considérablement la procédure de déclaration, mais en contrepartie instaurera de nouvelles contraintes et obligations à la charge des responsables de traitements (tenue d’une documentation, analyse d’impact relative à la protection des données, Privacy by design : protection des données dès la conception, ...).

« Face à la complexité de l’écosystème numérique, l’enjeu du régulateur et [donc] de construire des relais qui permettent d’associer et de responsabiliser les acteurs afin de partager la charge de la régulation avec eux ».

Autrement dit, l’action de la CNIL ne doit plus être réduite « ni à l’accomplissement de formalités administratives à l’utilité souvent mal comprise (CNIL = déclaration), ni à une dimension coercitive crainte, mais mal identifiée (CNIL = sanction) » .

Nos partenaires

Réalisation : Clic Story ®

Plan du site