Sur la plateforme ouverte des données publiques françaises, un nouveau jeu de données intéressant a été mis en ligne : la liste des contrôles réalisés par la CNIL en 2023. L'année dernière, il y en a eu 342, dont 127 en ligne.

Voici déjà un tableau récapitulatif depuis 1990 (et donc jusqu’en 2023) avec le nombre de contrôles total (courbe bleue) ainsi que le pourcentage de ceux réalisés en ligne (courbe rouge). Cette procédure a pour rappel été mise en place en 2014, ce qui explique les chiffres à zéro avant cette date.

Pic en 2015, stabilisation depuis 2022

On peut voir que le pic a été atteint en 2015, avec 510 contrôles. C’est la seule fois que la barre des 500 a été dépassée. S’ensuit alors une descente jusqu’en 2020 (période de la pandémie de Covid et de confinements), puis une remontée à partir de 2021 pour finalement stagner aux alentours de 350.

C’est également durant cette période de pandémie que le nombre de contrôles en ligne a augmenté rapidement. Il se stabilise depuis trois ans aux alentours de 37 %. Cette année, 127 des 342 contrôles ont été effectués en ligne contre 157 sur place. Le reste sont soit des contrôles sur pièces soit sur audition.

Trio de tête : commerce, collectivités territoriales et santé

Dans le détail, le secteur le plus contrôlé est celui du commerce avec pas moins de 127 contrôles aussi bien en ligne (depuis 2014), sur place (dans les locaux du responsable du fichier), sur audition (convocation dans les locaux de la CNIL) que sur pièces (demande de documents).

Les collectivités territoriales ne sont pas en reste avec 51 contrôles, ni le domaine de la santé avec 38 contrôles. Dans ce dernier cas, on retrouve plusieurs hôpitaux (Assistance Publique - Hôpitaux de Paris, CHI du Léman, hôpital américain de Paris, CHU de Besançon, Perpignan, Chartres…) ainsi que Doctolib, TousAntiCovid et Doctissimo.

OpenAI et des réseaux sociaux

Si la France recouvre la grande majorité des contrôles, les agents de la CNIL sortent aussi de nos frontières, mais uniquement pour des contrôles sur pièces ou en ligne. C’est le cas d’Open AI contrôlé deux fois, de Samsung Electronics, de Replika et de Glow pour ne citer qu’eux.

Dans le domaine des télécommunications, on retrouve donc OpenAI, les réseaux sociaux BeReal et Snapchat, Orange et Google.

Le retour des contrôles sur la « vidéoprotection »

Si l’écrasante majorité des contrôles concerne le RGPD (329 sur 342), la CNIL annonce avoir procédé à 13 contrôles sur la « vidéoprotection », dont quatre chez des particuliers à Voisenon, Chartrettes et Champagne-sur-Seine dans le 77, ainsi qu'Habsheim dans le 68. Du côté des collectivités territoriales, les communes de Nice, Roubaix, Vitrolles, Cannes, Chartres, Nîmes et Moirans ont eu droit à des contrôles sur place. Le ministère de l’Intérieur a aussi été examiné deux fois, sur pièces.

Selon les propres données de la CNIL, cela faisait plusieurs années qu’aucun contrôle n’avait été réalisé sur la vidéosurveillance. Il faut effet remonter à 2019 avec 10 contrôles, contre 20 en 2018. Les années 2014 à 2017 étaient plus intenses avec 47 à 97 contrôles par an.

Comment la CNIL décide de contrôler ?

Rappelons enfin qu’un contrôle ne veut pas dire qu’il y a un problème. « La CNIL peut contrôler les organismes à la suite de plaintes qu’elle reçoit, de signalements qui lui sont faits, ou parce qu’elle décide de se saisir d’un cas particulier », explique la Commission. Elle peut aussi décider chaque année de porter « son attention sur des grandes thématiques identifiées ».

Elle rappelle qu’elle « a le pouvoir d’effectuer des contrôles auprès de l’ensemble des organismes qui traitent des données personnelles. Les entreprises privées, les associations ou encore les organismes publics peuvent ainsi faire l’objet d’un contrôle de la CNIL ».

Enfin, « en cas de manquements constatés lors du contrôle, le président de la CNIL peut décider d’une mise en demeure ou la formation restreinte peut prononcer différentes mesures ou sanctions ». Les sanctions ne sont pas toujours publiques et quand elles le sont, pas toujours nominatives.