Nous en avons progressivement pris conscience ces dernières années : la donnée est partout. Or noir du XXIème siècle, elle alimente les innovations technologiques, permet la rémunération d’un nombre croissant d’acteurs économiques, tout comme elle suscite les inquiétudes croissantes des citoyens par rapport à la protection de leur vie privée.
Le rapport 2019 de la CNIL, publié le 9 juin, semble consacrer cette prise de conscience, et confirme encore une fois que le XXIème siècle sera celui de la donnée. La CNIL est en effet une autorité administrative indépendante, chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés. Or, ce rapport 2019 dénote du rôle croissant de cette institution, corollaire des évolutions réglementaires et de la place toujours plus centrale qu’occupent les données personnelles dans le fonctionnement de nos sociétés.
L’année en chiffre (détail des chiffres page 56 à 96 du rapport) :
- 14 137 plaintes ont été déposées (+27% par rapport à 2018, +79% par rapport à 2014).
- 2 287 violations des données ont été constatées.
- 300 contrôles ont été effectués (53 en ligne, 45 contrôles sur pièce).
- 42 mises en demeure ont été prononcées.
- 8 sanctions dont 7 amendes ont été infligées pour un total de 51 370 000 euros.
- 21 000 DPO ont été désignés (+31% par rapport à 2018).
- Le site de la CNIL compte près de 8 millions de visites sur l’année 2019.
Une régulation de la donnée en pleine expansion :
La CNIL enregistre donc des chiffres inédits qui témoignent de la prise d’importance croissante de l’institution en lien bien entendu avec la très forte mobilisation autour du Règlement Général sur la Protection des Données (RGPD). Comme l’affirme Marie-Laure Denis, présidente de l’institution : “La CNIL s’est pleinement emparée du nouveau cadre juridique. […] Le fil rouge de 2020 sera l’appropriation par tous et la concrétisation pour tous des promesses et potentialités du RGPD”.
Preuve en est certainement de la sanction prononcée contre Google en janvier 2019, ayant abouti à une amende de 50 millions d’euros au géant américain, ce qui reste, à ce jour, la sanction la plus importante en Europe décidée par les autorités de protection de données. Une telle sanction n’a été rendue possible que par le RGPD, qui permet des amendes pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial, soit bien plus que les 150 000 euros d’amende que pouvait infliger la CNIL auparavant.
Avec une amende de 50 millions d’euros, on pourrait même dire que la CNIL a encore de la marge pour sanctionner plus durement la société de Mountain View, dont le chiffre d’affaires annuel s’élevait en 2018 à 136 milliards de dollars, ou plus généralement les GAFAM, dont le chiffre d’affaire cumulé s’élevait à près de 800 milliards en 2018. Le montant inédit de cette sanction marque cependant bien une orientation : celle d’une préoccupation croissante entourant la régulation des données personnelles dans nos sociétés digitales, et la position de plus en plus centrale des autorités en charge d’une telle régulation ??.
Si le montant des amendes infligées par la CNIL est un indice, tous les autres indicateurs affichés dans le rapport sont cohérents avec une telle évolution. La croissance exponentielle du nombre de visites sur le site de la CNIL, tout comme celle du nombre de plaintes depuis 5 ans dénote de la prise de conscience des citoyens autour de cet enjeu (dans un tiers des cas, les plaintes concernaient la publication ou l’exposition de données personnelles. La surveillance des employés dans le cadre de leur travail représente 10,7 % des plaintes, avec l’essentiel des cas portant sur la mise en place de dispositifs de vidéosurveillance). L’expansion également constante du nombre de DPO au sein des organisations montre une même prise de conscience chez les différents acteurs de la vie économique. Les mises en demeure, contrôles, constatations de violation des données consacrent quant à eux la prise au sérieux du rôle des autorités de régulation.
Les chiffres présentés par la CNIL dans son rapport nous confirment donc une évolution centrale aujourd’hui : la régulation de la donnée sera l’enjeu incontournable du XXIème siècle, qui touchera l’intégralité des acteurs sociaux. ???
Ajoutons cependant que malgré ces préoccupations, la réglementation permettant la régulation de la donnée n’est encore que très partiellement harmonisée, et que des efforts restent à faire dans ce sens. L’entrée en vigueur du RGPD s’est accompagnée de l’édiction, par les autorités de contrôle nationales, d’une multitude de lignes directrices produisant une interprétation parfois divergente du texte. De même, les nombreux reports du règlement ePrivacy retarde toute harmonisation dans le domaine touchant plus particulièrement à la vie privée. Hors Europe, la multiplication des réglementations touchant aux données personnelles, calquées sur le RGPD (comme en Californie), ou non, freine également une harmonisation plus globale du corpus juridique. Pour résumer, si les objectifs sont louables et si le rapport 2019 de la CNIL démontre bien la préoccupation croissante entourant la régulation de la donnée, il faut se rappeler que le chemin est encore long et juché d’incertitudes parfois complexes.
Les analyses de la CNIL sur des sujets brûlants (détails page 16 à 47 du rapport) :
Le rapport 2019 de la CNIL, outre la présentation des chiffres que nous avons résumée ci-dessus, propose un certain nombre d’analyses sur des sujets d’actualité, présentant des enjeux majeurs en termes de protection des données personnelles. Qu’il s’agisse de présenter la politique de régulation de la CNIL sur ces questions, ou d’apporter des éléments aux débats encadrant des nouvelles technologies, cette partie du rapport est particulièrement riche en informations.
- La CNIL expose par exemple sa position par rapport aux cookies. Elle rappelle notamment le plan d’action qu’elle a mis en oeuvre. En effet, si la CNIL avait décidé en 2017 de suspendre ses actions sur la question des cookies de par l’annonce du règlement ePrivacy, les incertitudes liées au délai d’adoption de ce texte et la nécessité de clarifier certaines pratiques non respectueuses des droits des personnes, notamment dans le cadre du ciblage publicitaire, l’ont poussé à confectionner un plan d’action. Celui-ci s’articule en plusieurs étapes : en juillet 2019, la CNIL a publié ses lignes directrices sur les cookies et autres traceurs. De septembre à novembre, une concertation avec des organisations représentatives des professionnels et de la société civil a été organisée. En décembre 2019, la CNIL émet un projet de “recommandation” sur les cookies et autres traceurs, avant d’organiser une consultation publique en janvier 2019. Nous attendons désormais la publication de la recommandation finalisée et annoncée pour septembre 2020.
Si vous souhaitez en savoir plus sur la politique et les lignes directrices de la CNIL concernant les cookies, LegalUP Consulting a produit deux analyses, en juillet 2019 à la publication de ces lignes, puis en octobre 2019 pour en suivre les développements.
- Un autre sujet d’analyse pour la CNIL concerne le sujet brûlant de la reconnaissance faciale. Il s’agit ici pour la CNIL d’appeler à un débat démocratique sur le sujet, avec selon elle plusieurs objectifs d’un tel débat : d’abord, définir clairement la nature même de la technologie. Une régulation équilibrée ne pourra naître que si une définition claire et nuancée de la reconnaissance faciale aura été faite. Ensuite, mettre en lumière les risques que présentent une telle technologie, pour déterminer ceux qui seront acceptables associés aux bonnes garanties, et ceux qui seront incompatibles avec une société démocratique. Puis, rappeler le cadre réglementaire s’imposant à ces dispositifs, que ce cadre soit européen ou national. Enfin, préciser le rôle de la CNIL dans une telle régulation.
Si vous souhaitez en savoir plus sur les débats entourant la reconnaissance faciale, LegalUP Consulting vous propose un dossier de fond, rédigé par Valérie Chavanne et Quentin Roland, qui présente en détails les challenges techniques et juridiques associés à cette technologie.
- Un autre thème fondamental pour la CNIL touche à la cybersécurité. L’obligation de sécurité, inscrite dans la loi depuis plus de 40 ans, a en effet été largement renforcée par le RGPD. Trois nouvelles obligations ont vu le jour avec l’entrée en vigueur du RGPD : la tenue d’un registre recensant toutes les violations de données personnelles ; la notification de ces violations à l’autorité de contrôle des données, dès lors qu’elles engendrent un risque pour les droits et libertés des personnes concernées ; L’information des personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés. De même, les amendes venant sanctionner le non-respect de l’obligation de sécurité ont été fortement augmentées, et s’élèvent maintenant à 10 000 000€ ou 2% du chiffre d’affaire de l’entreprise.
Un tel renforcement des obligations de cybersécurité accroît de facto le rôle de la CNIL et des autorités de contrôle chargées de les faire respecter. Un rôle que l’institution prend au sérieux, puisqu’en 2019, cinq amendes importantes ont été prises ou proposées au niveau européen pour des défauts de sécurité, l’absence de notification de violation de données ou de communication aux personnes concernées.
Pour en savoir plus sur le thème des relations entre droit des données personnelles et cybersécurité, LegalUP Consulting prépare actuellement un travail sur le sujet. Restez attentifs à notre page de publications pour ne pas le manquer !
D’autres thèmes passionnants que nous développerons ultérieurement dans des publications ultérieures sont abordés par la CNIL dans son rapport, et notamment :
- La diplomatie de la donnée (coordination européenne et internationale)
- La question du traitement à finalité scientifique
- Les données personnelles dans le domaine de la santé
- Les solutions d’identité numérique
- L’actualité jurisprudentielle du déréférencement, du ciblage publicitaire et de la directive “Police-Justice”.
En conclusion, le rapport annuel de la CNIL en 2019 confirme l’entrée de nos sociétés dans le siècle de la donnée, ainsi que la prise de conscience de la nécessité de se mettre en conformité au RGPD pour des raisons autres que simplement juridiques. Cette évolution s’accompagne de la multiplication des lignes directrices de la CNIL avec une réactivité, voire une anticipation nouvelle, ce qui est une bonne chose pour donner un éclairage dans ce paysage réglementaire riche et mouvant, malgré les controverses sur la valeur de ces textes.
Quoi qu’il en soit, la régulation des données personnelles prend ainsi une importance considérable, tant du point de vue de l’application des règles juridiques, que de la réflexion sur des sujets autour d’évolutions technologiques comme la reconnaissance faciale, la cybersécurité, l’Intelligence Artificielle… La CNIL, dans son rôle aussi fondamental que complexe de régulateur comme de participant aux débats publics, semble mettre tout en oeuvre pour embrasser ces évolutions.
LegalUP Consulting surveille l’ensemble de ces débats pour vous éclairer sur les règles applicables, anticiper les changements de réglementation, et vous accompagner dans un paysage juridique complexe et mouvant. Nous vous donnons rendez-vous pour cela sur notre blog, présentant l’intégralité de nos publications.
Quentin Roland & Valérie Chavanne