CNIL : bilan d’une « année charnière »

Comme chaque année, la CNIL publie son rapport d'activité de l'année précédente. Sa présidente, Marie-Laure Denis, qualifie cette année de « charnière » alors que le RGPD fête les cinq ans de sa mise en vigueur et que l'autorité va devoir se préparer au futur cadre européen de régulation de la donnée.

Pour sa présidente Marie-Laure Denis, « 2022 marque la fin d’un cycle au cours duquel la CNIL a modifié ses méthodes de travail pour répondre aux exigences du RGPD, dans le domaine de l’accompagnement à la conformité et de l’information du public ».

L'année dernière, la CNIL a reçu pas moins de 126 574 appels et 18 462 requêtes par voie électronique. Au total, l'autorité a été beaucoup moins contactée qu'en 2021 où il était question de plus de 178 000 requêtes (par téléphone ou par voie électronique). Le nombre de requêtes de l'année 2022 se rapproche finalement des chiffres de 2020 pour laquelle la CNIL avait été contactée un peu plus de 141 000 fois.

L'autorité explique qu'elle « a profondément revu la manière dont elle interagit avec ses publics » et met en avant « l’ouverture d’un téléservice dédié à l’exercice des droits indirect » ainsi que « la généralisation d’un portail permettant aux usagers de suivre les étapes d’avancement de leur dossier, de simplifier, et de sécuriser les échanges ».

Au final, cette focalisation sur ses outils numériques coïncide avec un nombre de requêtes électroniques un peu plus élevé qu'en 2021 – mais moins qu'en 2020 –, ainsi qu'avec une baisse du nombre total de contacts.

Nombre de plaintes en baisse

Si le nombre de plaintes reçues par la CNIL (12 193) reste toujours élevé, il est aussi en baisse par rapport aux années précédentes. Il n'était pas descendu en dessous de 13 500 depuis 2018.

Crédits : CNIL

Mais l'autorité peut se targuer d'en avoir profité pour en clore plus (13 160) qu'elle n'en a reçues dans l'année.

« L’année 2022 a été marquée par un accroissement du nombre de plaintes reçues sur le sujet des cookies et autres
traceurs : plus de 300 plaintes reçues (en augmentation de 26 % par rapport à 2021) », explique la CNIL dans son rapport.

Le rapport ne donne pas la part concernant le droit à l'oubli, expliquant seulement avoir reçu « de nombreuses plaintes dans lesquelles les usagers rapportaient leur difficulté à obtenir l’effacement de données personnelles publiées sur des sites web, réseaux sociaux, sites de presse en ligne, etc ». Pour autant, la CNIL précise que 8 % d'entre elles sont des demandes concernant des articles de presse en ligne (demande de retrait de l’article, anonymisation, désindexation).

850 concernent la prospection, notamment par email (44 %) mais aussi par SMS (31 %), ou courrier postal (15 %). La prospection par appel téléphonique ne représente que 10 % des plaintes.

L'autorité a aussi reçu 1 512 plaintes concernant l'accès aux données traitées dans le cadre de relations commerciales et de travail.

La surveillance des employés représente aussi un nombre significatif des plaintes. La CNIL en a reçu 663 de la part d’employés estimant faire l’objet de mesures de surveillance illicites au regard du RGPD ou de la loi Informatique et Libertés, dont 542 pour des dispositifs de vidéosurveillance.

Concernant des situations plus délicates encore, 120 usagers ont saisi la CNIL parce qu'elles n'obtenaient pas l'accès à leur dossier médical. Si ce nombre est faible par rapport au reste, il « cache des situations compliquées pour les usagers concernés (par ex. : soins bloqués dans l’attente de la communication au nouveau praticien) », met en avant l'autorité.

Autres situations délicates, alors qu'en 2021, elle avait reçu un peu plus de 200 plaintes évoquant un fichage bancaire, en 2022, elle en a reçu près de 400 concernant l’inscription par les établissements bancaires et de crédit de personnes dans les fichiers d’incidents de la Banque de France.

345 contrôles, 147 mises en demeure et 21 sanctions

Pour ce qui est des contrôles, l'autorité explique s'être « efforcée d’être au plus près des préoccupations des particuliers et des problèmes rencontrés dans le traitement de leurs données : 43 % des missions effectuées faisaient ainsi suite à une plainte. »

Leur nombre est en baisse par rapport à l'année précédente : 345 en 2022 (dont 143 sur place) contre 384 en 2021 (dont 118 sur place).

Mais, pour autant, cela ne signifie pas que la CNIL fait moins de remontrances. Au contraire, en 2022, elle a prononcé 147 mises en demeure et 21 sanctions (19 amendes et 2 décisions de liquidation d'astreinte) contre 135 mises en demeure et 18 sanctions l'année d'avant.

En tout, c'est 101 millions d’euros d’amendes que l'autorité a infligées l'année dernière. « Parmi les manquements les plus fréquents », explique le rapport, « figurent le défaut d’information des personnes, le non-respect de leurs droits et le défaut de coopération avec la CNIL ».

« Sur ces 21 sanctions, un tiers comporte également un manquement en lien avec la sécurité des données personnelles » est-il précisé.

Sur les 147 mises en demeure, 22 concernent des communes qui n'avaient pas désigné de délégué à la protection des données. La plupart ont depuis procédé à cette désignation, clôturant, de fait, leur dossier.

Une seule ne l'a pas fait. Si la CNIL ne la nomme pas, elle indique que sa présidente « a décidé de désigner un rapporteur et de saisir le président de la formation restreinte afin que soit prononcée une amende selon la procédure de sanction simplifiée ».

Nombre de violations toujours important

En 2022, la CNIL a été notifiée de 4 088 violations de données. Si ce nombre reste important, il est en nette baisse par rapport à 2021 (5 037 notifications).

L'autorité note que « les notifications continuent d’arriver par vague, car un sous-traitant notifiant une violation de données à la CNIL notifie, dans le même temps, les responsables de traitement qui, à leur tour, notifient la CNIL ».

62,8 % des violations de données sont dues à des attaques externes malveillantes.

4 grandes thématiques du laboratoire LINC

Depuis 2021, le laboratoire LINC est devenu un service à part entière de la CNIL. Son programme de travail pour les années 2022 et 2023 se concentre sur 4 thématiques :

• évaluer l’impact de la protection des données sur la protection de l’environnement ;
• vers une meilleure compréhension de l’économie des données ;
• la protection des données au quotidien : pratiques et perceptions des utilisateurs ;
• les nouvelles formes de captation de données.

Effectifs en hausse

Pour effectuer ses tâches d'accompagnement, d'information, de contrôle et de recherche, la CNIL disposait fin 2022 de 270 postes, en hausse par rapport aux 245 de 2021, et d'un budget de près de 24 millions d'euros (dont 20 millions consacrés à la masse salariale).