CADA, CNCTR, CNIL : des autorités indépendantes en surchauffe

Les documents annexés au projet de loi de finances (PLF) 2024 révèlent que les demandes CADA ont augmenté de 46 %, les réclamations à la CNCTR de 50 %, et que le nombre de demandes de droit d'accès indirect à la CNIL a explosé de 300 % en prévision des Jeux olympiques 2024.

Le « bleu budgétaire » du programme n°308 du projet de loi de finances (PLF) 2024 consacré à la « Protection des droits et libertés » regroupe les crédits de sept autorités administratives indépendantes (ou AAI, dont la CADA, la CNIL et la CNCTR).

On y apprend qu'en 2022, la Commission d’accès aux documents administratifs (CADA) a « atteint un niveau record », avec 10 478 dossiers entrants, soit « +24,5 % par rapport à 2021, mais +46,03 % par rapport à la moyenne des quatre années précédentes ». 

2 311 ont été déclarés irrecevables, et 8 167 ont donné lieu à un avis, un conseil ou une sanction, soit « +32,85 % par rapport à la moyenne des quatre années précédentes, et +8,72 % par rapport à 2021 ».

On y apprend également qu'un nouveau rédacteur sera recruté en 2024, afin de limiter le nombre de dossiers traités par agent, et que le délai moyen annuel de traitement des dossiers a, de son côté, « très nettement été réduit en 2022 », passant de 182 jours en moyenne en 2019 à 51 en 2022. 

Cette baisse des délais, « malgré une augmentation exponentielle du nombre de dossiers entrants depuis plusieurs années », résulterait des mesures d’organisation mises en place dès 2019 et renforcées en 2022, et d’un « effort conséquent » fourni pour fluidifier le traitement des dossiers.

La CNCTR a reçu 50 % de réclamations de plus en 2023

La Commission nationale de contrôle des techniques de renseignement (CNCTR) signale de son côté une augmentation de plus de 50 % du nombre de réclamations dont elle a été saisie au 31 juillet 2023 par rapport à l’année 2022.

Face à la progression continue du nombre de techniques mises en œuvre, « à leur degré de complexité croissant  » ainsi qu’à l’extension des missions de contrôle dévolues à la CNCTR au terme des modifications législatives successives, il est apparu nécessaire que les contrôles sur pièces et sur place soient « doublés d’un renforcement des possibilités de contrôle à distance de la commission ». 

Cette démarche, qui « nécessite des développements techniques » en lien avec le groupement interministériel de contrôle (GIC) et les services de renseignement, devrait permettre, à compter de l’exercice 2023, de comptabiliser des contrôles réalisés à distance. 

La CNCTR précise qu'il s’agirait de contrôles thématiques regroupant plusieurs dossiers, chaque dossier portant sur l’ensemble des techniques de renseignement mises en œuvre à l’égard d’une personne.

• Comment s'organise le contrôle des techniques de renseignement
• Les irrégularités constatées par la CNCTR, le gendarme du renseignement
• « Boites noires » : les services de renseignement n'ont pas encore demandé à surveiller les URL

La CNIL a instruit près de 8 000 plaintes en 2022

Plus de cinq ans après l’entrée en application du RGPD, le nombre de demandes reçues par an par la CNIL « semble se stabiliser ». Le rapport précise cela dit que « toutefois, celles-ci sont de plus en plus complexes ».

Son service des relations avec les publics (SRP), le « front office multicanal » de la CNIL (gestion des demandes de particuliers ou de professionnels reçues par téléphone, par voie électronique ou par voie postale), a ainsi reçu 12 193 plaintes en 2022, soit une baisse par rapport à l’année 2021 (14 143). Elles proviennent principalement de particuliers, pour non-respect du RGPD et de la loi « informatique et libertés », dont 7 959 ont été transmises au service de l’exercice des droits et des plaintes.

Pour la première fois depuis la signature du RGPD, la CNIL a traité en 2022 plus de plaintes qu’elle n’en a reçues (12 000 entrées, 13 000 sorties). Début 2023, le stock s’élève ainsi à 7 500 plaintes. 

La CNIL évoque « notamment » le recours au prestataire externe LUMINESS au moyen d’un marché public, qui a permis, depuis octobre 2022, d’assurer le traitement de plus de 2 000 plaintes simples. La situation « demeure cependant fragile » : à titre d’exemple, la CNIL a reçu 2 500 plaintes pour le seul mois de janvier 2023, à comparer aux 700 reçues en janvier 2022. 

• La CNIL va externaliser la gestion du tiers de ses saisines

Si les principaux motifs de saisine sont l’opposition à figurer dans un fichier (notamment sur Internet), tous secteurs d’activité confondus, et la prospection commerciale, « un nombre croissant » de plaintes concerne des acteurs établis en dehors de l’Union européenne, des dispositifs technologiques innovants et des plaintes collectives émanant d’associations de défense des consommateurs ou des libertés. 

Plus de 12 % des plaintes reçues en 2020 concernaient ainsi des traitements transfrontaliers de données personnelles au sein de l’Union européenne « nécessitant une coopération avec les homologues de la CNIL ». Les efforts organisationnels et d’amélioration des outils numériques de la CNIL) confirment la cible définie pour 2023, « à savoir 1 900 sollicitations électroniques traitées/an/ETP ».

Un délai de traitement passé de 212 à 180 jours

La CNIL est par ailleurs tenue d’informer les plaignants de l’état d’avancement de leur dossier dans un délai de 3 mois « correspondant à la cible fixée à 90 jours » (contre 151 jours en moyenne en 2021).

La CNIL précise qu'une réduction progressive de ce délai en 2025 (85 jours) et 2026 (80 jours) « demeure un objectif », mais que compte tenu du nombre « à nouveau à la hausse et de la complexité croissante des plaintes », et « malgré les efforts organisationnels mis en œuvre », le délai moyen de premier traitement n’a pas vocation à être réduit en 2024.

S’agissant du délai moyen de traitement des plaintes, la cible 2023 est « stabilisée » à 180 jours pour 2024 (contre 212 en 2022) afin de tenir compte de l’apurement progressif des dossiers plus anciens (dont la clôture impacte le délai moyen de traitement) et de la forte croissance anticipée du nombre de plaintes en 2023 par rapport à 2022.

Les axes de travail mis en place par la CNIL permettent en outre de « confirmer l’ambition de réduction des délais de gestion des plaintes reçues par la CNIL », avec une cible fixée à 170 jours calendaires en 2025 puis à 160 jours calendaires en 2026.

Parmi ces axes de travail sont notamment mis en place :

• le renforcement des effectifs affectés à cette mission compte tenu du volume très important des
  saisines et de leur complexification ;
• la répartition et adaptation des méthodes de travail (procédures, circuits de validations, documents type…) en fonction de la nature des saisines et du degré d’investigation plus ou moins important à effectuer ;
• la décision de faire appel à un prestataire extérieur pour la réalisation des tâches administratives liées à l’instruction des saisines les plus récurrentes et standardisées.

JO 2024 : +300 % de demandes de droit d'accès indirect

La CNIL a, par ailleurs, reçu 7 417 demandes d’exercice de droits indirect, soit 27 % de plus qu’en 2021. Elle a dès lors multiplié les échanges avec les gestionnaires des fichiers et dénombré, en 2022, 45 % de vérifications de plus qu’en 2021.

Elle rappelle, « néanmoins », ne pas avoir la maîtrise des demandes qu’elle reçoit. Les demandes portant sur des fichiers relevant de l’exercice des droits indirect « sont en effet régulièrement motivées par des éléments de contexte indépendants des actions de la CNIL ». À ce titre, elles sont « difficilement prévisibles », rendant par conséquent délicat la détermination de perspectives concernant le nombre de vérifications conduites par la CNIL au titre de l’exercice des droits indirect.

Pour autant, elle anticipe d'ores et déjà pour 2023 et 2024 une augmentation du nombre de demandes d’exercice des droits indirect, pour deux raisons principales, à commencer par l’ouverture d’un téléservice dédié au recueil des demandes depuis le 1ᵉʳ décembre 2022 : « ce téléservice est plébiscité et la CNIL constate depuis son ouverture, une augmentation de près de 300 % du nombre de demandes reçues ».

L'autre raison tient aux recrutements massifs d’agents de sécurité pour les Jeux olympiques 2024, qui nécessitent la délivrance d’une habilitation ou d’un agrément impliquant une enquête administrative pour vérifier que le comportement du candidat n’est pas incompatible avec l’exercice des fonctions envisagées. 

En anticipation de cette enquête ou suite à un refus d’habilitation ou d’agrément, les personnes concernées ont la possibilité de saisir la CNIL d’une demande d’exercice de droits indirect à l’égard de certains fichiers consultés par les autorités délivrant cette habilitation (ex : le traitement d’antécédents judiciaires, ou TAJ).

La CNIL devrait en outre se voir attribuer 10 ETP (équivalent temps plein) supplémentaires, la CADA 3, afin de « répondre à l’accroissement du nombre de saisines », et la CNCTR 2, « en raison de la hausse de son activité liée aux récentes évolutions législatives en matière de renseignement ». Cela portera ainsi leurs plafonds d'emploi à respectivement 292, 20 et 28 équivalents temps pleins.

• Téléchargez le document