Formations et audits Informatique et Libertés

Des professionnels en conformité Informatique et Libertés : formation, audit, formalités cnil, contrôle cnil et l’application Data Privacy Manager dédiée au CIL

Dictionnaire juridique

Rapport d’activité 2012 de la CNIL : nouveau record des plaintes et des contrôles

Record des plaintes - Contrôles et sanctions CNIL - CNIL et secteur public - Notification des violations de données à caractère personnel

Vous êtes ici : Accueil > Actualités

Le 33ème rapport d’activité de la CNIL pour l’année 2012 a été publié le 23 avril dernier. Ce rapport fait notamment le bilan de son activité toujours croissante (plaintes, contrôles et sanctions), de ses actions dans le secteur public et ses nouvelles missions (notification des atteintes aux données personnelles).

lundi 6 mai 2013

Un nombre record de plaintes

En 2012, la CNIL a enregistré le nombre de plaintes le plus élevé depuis sa création : 6 017 (+ 4,9% par rapport à 2011).

La Commission a constaté que son service de plaintes en ligne, disponible depuis 2010, a contribué partiellement à cette hausse (en 2012, 44% des plaintes ont été reçues via le site cnil.fr contre 26% en 2011).

Au-delà de ce volume important, la CNIL a dressé les nouvelles typologies quant à l’objet des plaintes :

  • l’exercice du droit d’opposition à figurer dans un fichier constitue le principal motif des plaintes (46 %) ;
  • confirmation de la tendance 2011 : 31% des plaintes concernent l’exercice du « droit à l’oubli » sur internet (suppression de textes, photographies ou vidéos en ligne), soit 1050 plaintes ;
  • 21% des plaintes concernent la suppression de ses données des fichiers publicitaires, clients et bancaires ;

- 15% des plaintes sont relatives à des problématiques de gestion des ressources humaines (vidéosurveillance, géolocalisation, accès au dossier professionnel) ;

  • 10% à l’inscription de personnes dans le fichier national des incidents de remboursement des crédits aux particuliers (FICP) et au fichier central des chèques er des retraites de cartes bancaires (FCC) ;
  • enfin, 8% des plaintes reçues par la CNIL traitent des libertés publiques et des collectivités avec une part significative de plaintes liées aux opérations électorales (présidentielles, législatives), presse en ligne, documents publics diffusés sur internet par des collectivités locales.

Les contrôles et sanctions en 2012

Sur les 458 contrôles effectués au cours de l’année 2012, 285 ont porté sur des dispositifs relevant la loi « Informatique et Libertés » et 173 contrôles sur des dispositifs de vidéosurveillance (lieux non ouverts au public) et de vidéoprotection qui relèvent de la loi du 21 janvier 1995 (voie publique et lieu ouvert au public nécessitant une autorisation préfectorale).

Sur ces 285 contrôles, 23 % ont été effectués dans le cadre de l’instruction de plaintes, 11 % dans le cadre de la procédure de sanction afin de vérifier le respect des engagements pris par un responsable de traitement mis en demeure par la CNIL, et 26 % au regard de l’actualité.

40 % des contrôles réalisés se sont inscrits dans les thématiques issues du programme annuel décidé par la Commission.

Ensuite, sur les 300 plaintes relatives aux dispositifs de vidéosurveillance et vidéoprotection, la CNIL a réalisé 173 contrôles (75% de ces plaintes concernaient la vidéosurveillance sur les lieux de travail).

Enfin, l’année 2012 a été marquée par l’augmentation du nombre de sanctions rendues publiques par la formation restreinte de la Commission avec 8 des 13 sanctions rendues publiques, ainsi que l’adoption des premières mises en demeure publiques (réforme introduite par la loi du 29 mars 2011 relative au Défenseur des droits).

Au total la CNIL a prononcé :

  • 43 mises en demeure dont 2 ont été rendues publiques ;
  • 13 sanctions dont 4 sanctions pécuniaires ;
  • 9 avertissements dont 5 rendus publics
  • 1 injonction de cesser le traitement

La Cnil et le secteur public

La CNIL a effectué 93 contrôles dans le secteur public, dont 57 au regard de la conformité à la loi Informatique et Libertés et 36 relatifs aux dispositifs de vidéoprotection.

Pour rappel, depuis la loi du 14 mars 2011 , la CNIL est également compétente pour contrôler les dispositifs de vidéoprotection pour les lieux ouverts au public et la voie publique.

Les contrôles de la CNIL dans le secteur public ont ensuite touchés les traitements suivants :

  • les fichiers d’antécédents judiciaires (STIC-JUDEX) ;
  • les données de santé gérées par les groupes hospitaliers d’importance nationale ;
  • la délivrance des visas dans les consulats, notamment par rapport aux données biométriques ;
  • les fichiers « sociaux » mis en œuvre par les collectivités locales et les CCAS.

A ce titre, il est utile de préciser que le programme annuel des contrôles de la CNIL pour 2013 comprend les traitements des données relatives aux difficultés sociales des personnes détenus par les communes, CCAS ou Conseil généraux, qui comportent des enjeux majeurs en termes de protection des données (sécurité, partage entre les différents acteurs de la sphère sociale voire au-delà, durée de conservation).

La CNIL accompagne également le secteur public notamment en publiant un vadémécum avec l’Association des Maires de France (AMF), qui rappelle aux collectivités locales les 10 points pour assurer la sécurité collective dans le respect des libertés individuelles.

En 2012, la CNIL a également fixé le cadre de la mise en ligne des archives publiques en adoptant une autorisation unique . Elle concerne la mise en ligne de documents d’archives sur internet dans le cadre de la mise en valeur du patrimoine :

  • soit à des fins historiques, scientifiques ou statistiques conformément aux dispositions du code du patrimoine ;
  • soit à des fins de diffusion du patrimoine pour consultation par le grand public sur internet.

La notification des violations de données à caractère personnel

Cette nouvelle mission de la CNIL, qui a pour origine la transposition en droit interne de la directive européenne révisant le « paquet télécom », impose aux fournisseurs de services de communication électronique d’informer la CNIL en cas de violation de l’intégrité ou de la confidentialité des données à caractère personnel qu’ils traitent.

Cette obligation de notification s’impose donc uniquement aux fournisseurs de services de communications électroniques devant être déclarés auprès de l’ARCEP, c’est-à-dire les fournisseurs d’accès à internet (FAI), de téléphonie fixe ou mobile, lorsque la violation intervient dans le cadre de leur activité de fourniture de services de communications électroniques.

Ainsi, l’intrusion dans la base clients d’un FAI devra être considérée comme une violation de données soumise à notification auprès de la CNIL, ce qui n’est pas le cas pour le même acte relatif aux données de ses salariés.

Concrètement, dès qu’un fournisseur de services de communications électroniques constate une violation de données, il doit sans délai en informer la CNIL, ainsi que les personnes concernées par cette violation, sauf s’il avait mis en œuvre des mesures techniques qui rendent les données incompréhensibles à toute personne non autorisée à y avoir accès.

Cependant, la CNIL peut, si elle estime que la gravité de la violation le justifie, mettre en demeure le fournisseur d’informer les personnes dont les données ont fait l’objet de cette violation.

Le défaut de notification à la CNIL et aux personnes concernées est sanctionné à l’article 226-17-1 du Code pénal (cinq ans d’emprisonnement et 300 000 € d’amende).

A ce jour, la CNIL a reçu 18 notifications de violation de données personnelles.

Selon la CNIL, ce faible nombre de notifications s’explique par le fait que les modalités de mise en œuvre de cette nouvelle obligation ont été fixées tardivement par un décret d’application du 30 mars 2012.

A noter que le projet de règlement européen relatif à la protection des données , qui doit remplacer la directive européenne en la matière et se substituera donc la loi Informatique et Libertés, prévoit la généralisation de cette obligation de notification à l’ensemble des responsables de traitement.

Nicolas Samarcq
Consultant Informatique et Libertés

Nos partenaires

Réalisation : Clic Story ®

Plan du site