Dévoilant son programme de contrôles pour l’année 2014, la Commission nationale de l’informatique et des libertés (CNIL) vient d’annoncer qu’elle effectuerait cette année environ 200 contrôles en ligne. Il s’agit d’une première puisque l’institution a été dotée de ce nouveau pouvoir au travers du récent projet de loi sur la consommation. Explications. 

Au cours de l’année 2013, la CNIL a réalisé 414 contrôles. Dans plus de deux cas sur trois, il s’agissait de vérifier d'une manière générale la conformité de traitements de données personnelles à la loi « Informatique et libertés ». Pour le tiers restant, l’institution s’est penchée spécifiquement sur les dispositifs de vidéosurveillance installés tant dans des communes françaises qu’au sein d’entreprises.

Résultat ? La gardienne des données personnelles indique avoir adressé l’année dernière « une vingtaine de mises en demeure » et prononcé deux sanctions après que des sociétés ou des collectivités territoriales ont refusé de se conformer à la loi Informatique et Libertés. La CNIL souligne au passage que « dans l'immense majorité des cas », les organismes destinataires d’un premier avertissement sont rentrés dans le rang, spontanément. On arrive malgré tout à une moyenne d’environ un contrôle sur dix ayant débouché sur une mise en demeure.

Ce ratio est globalement similaire du côté des dispositifs de vidéosurveillance, la Commission évoquant « une dizaine de mises en demeure » pour 134 contrôles. Un cas devait d’ailleurs être particulièrement grave, puisque la CNIL a même effectué une dénonciation auprès du Procureur de la République, ce qui est assez rare. L’institution insiste quoi qu’il en soit sur le fait que ses contrôles « ont permis de mettre en relief des irrégularités récurrentes concernant l'utilisation des dispositifs vidéo ». En l’occurrence, il est question de « dispositifs parfois trop intrusifs (caméras dont le zoom permet de filmer l'intérieur des habitations) », de formalités administratives (autorisation préfectorale ou déclaration auprès de la CNIL) n’ayant pas été effectuées, ou d’une information incomplète des personnes sur l’existence et la finalité des caméras installées.

La CNIL va profiter de ses nouveaux pouvoirs d’investigation

Pour l’année 2014, la CNIL se fixe pour objectif de mener 550 contrôles, soit environ 30 % de plus qu’en 2013. « Les vérifications à mener se décomposeront en environ 350 vérifications sur place dans les locaux des organismes, dont un quart portera sur les dispositifs de vidéoprotection/vidéosurveillance, et en 200 contrôles en ligne » précise l’institution.

Car c’est bien là que se situe la véritable nouveauté du programme de contrôles de cette année : depuis l’entrée en vigueur de la loi sur la consommation, en mars dernier, la Commission est autorisée à procéder à des constatations en ligne. Comme nous avons déjà eu l’occasion de l’expliquer, ses agents peuvent dorénavant consulter toutes les données librement accessibles sur la toile (éventuellement par négligence ou suite au piratage par un tiers), alors que les contrôles de la CNIL étaient jusqu’ici limités à des investigations sur place.

Sur les 200 contrôles en ligne que compte effectuer l’institution dès cette année, il se pourrait bien que certains portent sur des « réseaux sociaux de rencontre en ligne », qui font partie des priorités affichées par la CNIL. « Les acteurs de ce secteur collectent de nombreuses données, y compris des données sensibles (orientations sexuelles, origines ethniques, religion...) » affirme à cet égard la Commission, qui précise vouloir également se pencher sur les utilisations qui peuvent être faites de ces données via des applications tierces.

Des contrôles sur les sites de rencontre, le paiement de l'impôt sur le revenu, etc.

Parmi les autres contrôles que prévoit de réaliser la Commission, on retrouve les traitements mis en œuvre par l’administration fiscale au titre du paiement et du recouvrement de l'impôt sur le revenu, le fichier judiciaire national automatisé des auteurs d'infractions sexuelles ou violentes (FIJAISV) ou bien encore les paiements par carte bancaire sur Internet. Alors que l’année 2014 a débuté par une fuite de données personnelles assez importante du côté d’Orange, l’autorité administrative explique qu’elle va également contrôler « les modalités de gestion des violations de données personnelles par les opérateurs de communications électroniques ». Aucune mention n'est par contre faite du cas Heartbleed.

• Accéder au programme complet des thématiques de contrôles prioritaires de la CNIL pour 2014.