La CNIL a fêté cette année ses 40 ans d’existence. Elle est « plus que jamais dans l’air du temps » pour reprendre les mots de sa Présidente, Isabelle Falque-Pierrotin, comme en témoigne son succès grandissant auprès du public et des entreprises.
En effet, la vénérable institution a enregistré une hausse spectaculaire de son audience (+59%) en 2017. En cause : l’entrée en vigueur le 25 mai prochain du Règlement Général de Protection des Données (RGPD) sur lequel la CNIL a produit une vingtaine de documents pédagogiques qui y font référence.
Cette œuvre de pédagogie s’est poursuivie sur les réseaux sociaux. Alors qu’elle a atteint les 100 000 abonnés sur Twitter, la CNIL a souvent été interrogée sur la plateforme de microblogging par des entreprises en quête d’informations sur leur mise en conformité avec le texte européen. Elle s’est associée au youtuber Cookieconnecté pour des vidéos engageantes sur le sujet.
Ce format est d’ailleurs l’occasion de s’adresser à un public jeune, né avec le numérique mais qui ne mesure peut-être pas toutes les conséquences de son impact sur sa vie privée. C’est pourquoi la CNIL est allée chercher le Youtubeur influent Le Rire Jaune pour réaliser une vidéo sur le sujet. Résultat : le contenu intitulé « protéger sa vie privée » a fait plus de 4,4 millions de vue. Cette initiative s’est accompagnée de nombreuses autres hors ligne comme la 3ème édition des trophées EDUCNUM visant à récompenser les projets étudiants sensibilisant les collégiens aux bons usages du web.
La Commission est plus largement plébiscitée par un public français bien ancré dans la vie numérique mais inquiet de ses répercussions sur les données personnelles. Ainsi, l’actualité la plus consultée en 2017 est celle relative à la gestion des mots de passe.
Sur le plan des demandes, elle a connu une augmentation significative (+21%) des requêtes par voie électronique, alors que le nombre d’appels téléphoniques et de courriers postaux a baissé. En outre, plus de 8 000 plaintes ont été adressées à la CNIL en 2017, ce qui est une première dans son histoire. Sans surprise, le motif numéro un (à 27%) est celui de la suppression des données et des contenus diffusés sur Internet. En lien avec cette problématique, 335 demandes de déréférencement ont été envoyées à la CNIL l’année dernière. Il s’agit de la mise en œuvre du droit à l’oubli consistant à demander aux moteurs de recherche de supprimer ses noms et prénoms figurant sur certains résultats de recherche. Derrière le secteur Internet et des télécoms, les plaintes ont concerné le commerce/marketing (avec la lutte contre le spam), les ressources humaines, la banque/crédit, la santé/social et le secteur des libertés publiques/collectivités.
À l’inverse, les demandes de droit d’accès indirect ont diminué en 2017. Cette procédure permet à tout un chacun de vérifier si ses données se trouvent dans des fichiers de défense et de sécurité, ou relatifs à des infractions. Pour autant, cette évolution n’est pas inscrite dans le marbre tant les enquêtes administratives s’appuyant sur la consultation de fichiers soumis à ce droit voient leur périmètre s’élargir.
Enfin, le rapport d’activité de la CNIL pour 2017 fait la lumière sur l’ensemble de ses fonctions de contrôle et de sanction. Elle a effectué au total 341 contrôles au cours de cette année en majorité dans le secteur privé (à 73%). Au programme : télévision connectée, fichiers de renseignement, courtiers en données, société d’assurance ou encore jouets connectés ont fait l’objet d’un examen minutieux de la CNIL. De quoi préparer le terrain avant l’application du RGPD qui doit accroître ce pouvoir de contrôle.
Du côté des sanctions, la Présidente de la CNIL, Isabelle Falque-Pierrotin, a prononcé 79 mises en demeures, dont 3 publiques. 14 sanctions ont été prononcées, dont 9 pécuniaires. On peut citer celle adressée à Facebook dont le montant s’élève à 150 000 euros. En cause : la « combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire » et leur traçage sur des sites tiers via un cookie, le tout à leur insu et sans qu’ils disposent forcément d’un compte sur le réseau social. La Présidente de la CNIL a alors mis demeure Facebook Inc. et Facebook Ireland de se conformer à la loi Informatique et Libertés.
C’était deux ans avant que l’affaire Cambridge Analytica touche le grand public.
Article de Thierry Randretsa