8 360 plaintes à la CNIL en 2017, une année record
Quid après le RGPD ?
Alors que l’année 2018 sera marquée par l’entrée en application du règlement général sur la protection des données personnelles, la CNIL dresse aujourd’hui son bilan d’activité pour 2017. Une année où les plaintes ont atteint un niveau record.
L’an passé, l’autorité, fière de ses 40 ans, a enregistré 8 360 plaintes (contre 7 703 en 2016 et 7 908 en 2015). C’est la première fois que la barre des 8 000 plaintes est franchie.
Dans le détail exposé au fil du rapport annuel de la CNIL, ce sont les secteurs de l’Internet et de la téléphonie qui remportent la palme avec 27 % des dossiers reçus. Remarquons d’ailleurs que l’institution a enregistré 335 demandes de déréférencement, suite à l’extension du « droit à l’oubli » (qui est plus exactement un droit à l’effacement) dans les moteurs de recherche.
Droit à l’oubli, droit d’accès indirect
« Le moteur de recherche peut refuser de donner une suite favorable à ces demandes s’il considère que l’intérêt des internautes à disposer de cette information est prépondérant. Il est possible de contester le refus du moteur de recherche auprès de la CNIL » rappelle le rapport. C’est justement un tel bras de fer qui est actuellement ausculté par la Cour de justice de l’Union européenne. Contrairement à Google, la commission estime que le droit à l’effacement doit s’étendre au-delà des frontières européennes, même sur le .com.
Dans le flot des données révélées par le document, remarquons que 4 039 personnes ont exercé leur droit d’accès indirect à sa porte. Pour mémoire, « les personnes qui souhaitent vérifier les données les concernant susceptibles d’être enregistrées dans les fichiers intéressant la sûreté de l’État, la défense et la sécurité publique (fichiers de renseignement, Système d’Information Schengen, etc.) ou qui ont pour mission de prévenir, rechercher ou constater des infractions (traitement d’antécédents judiciaires....) peuvent en effectuer la demande par écrit auprès de la CNIL ».
C’est un léger recul par rapport à l’année 2016, qui s’explique en partie par l’essoufflement des mesures prises lors des derniers mois de l’application de l’état d’urgence en France. C’est finalement le traitement des antécédents judiciaires (TAJ) qui concentre le plus d’attention avec 59 % des vérifications de fichiers faites l’an passé.
Dans 17 % des cas, les fiches examinées ont été supprimées à la demande de la CNIL. Pour 18 %, elles ont été mises à jour en raison d’une décision judiciaire favorable qui avait été oubliée par le traitement (acquittement, relaxe, non-lieu, classement sans suite). Cette démarche a ainsi pour conséquence de rendre « les personnes « inconnues » de ce fichier dans le cadre d’une consultation administrative (enquêtes pour l’obtention d’un agrément ou d’une habilitation pour l’exercice d’un emploi par exemple) ».
341 contrôles en 2017
Si l’on quitte le périmètre de la protection pour celui du contrôle, la CNIL a réalisé 341 contrôles en 2017, essentiellement portés sur le secteur privé (73 % contre 27 % pour le public). Un vrai fourre-tout qui va des fichiers du renseignement aux jouets connectés en passant par les smart TV ou les sociétés d’assurance, mais qui lui permettra roder le rôle attendu de l’autorité après l’application du RGPD le 25 mai.
Reposant sur une logique de responsabilité des acteurs, le règlement impliquera une intervention nettement plus proactive de la commission afin de déterminer si les principes inscrits dans le texte européen, dont celui du privacy by design, ont bien été respectés.
Les chiffres 2018 devraient théoriquement être plus ambitieux encore puisque le texte à venir autorisera les enquêteurs de la CNIL à mener leur mission dans toute l’Union européenne afin d’accéder aux locaux des responsables de traitement. Avec l’avènement d’une autorité cheffe de file, la coopération entre les CNIL européennes sera nettement renforcée pour aiguiser plus encore ces démarches.
79 mises en demeure, 9 sanctions pécuniaires, 5 avertissements
Après ce déluge de chiffres, la CNIL a infligé durant l’année écoulée 79 mises en demeure. Seules 6 ont été rendues publiques. Elle a infligé 9 sanctions pécuniaires (6 publiques) et 5 avertissements (dont 2 publics). Elle rappelle par exemple ces 150 000 euros infligés à Facebook Inc et Irlande pour une combinaison bien trop sauvage des données personnelles des internautes à des fins de profilage publicitaire. Les deux sociétés ont attaqué cette décision devant le Conseil d’État. La procédure est toujours en cours.
D’autres dossiers ont connu des fins plus heureuses, comme celui relatif à l’appétit de Windows 10 en matière de données personnelles. Microsoft a mis à jour ses conditions, par exemple en réduisant « de moitié le volume des données collectées dans le niveau de « base » de son service de télémétrie ». De ce fait, « elle a limité cette collecte aux données strictement nécessaires pour maintenir le système et les applications en bon état de fonctionnement et assurer leur sécurité », tout en accentuant l’information des utilisateurs.
Commentaires (14)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 10/04/2018 à 13h49
Je trouve aussi que la CNIL est trop molle avec les sanctions, surtout quand ça concerne des grosses boîtes qui enfreignent la loi en connaissance de cause…
Le 10/04/2018 à 13h49
Le 10/04/2018 à 14h21
Ce qui est chronique, c’est le manque de moyens de la CNIL…
Le 10/04/2018 à 14h27
Le 10/04/2018 à 14h36
Raison de plus pour sanctionner financièrement plus fréquemment et de se financer aussi de cette façon.
Dans le cas d’une récidive comme je l’ai subi en 2017, il n’est pas normal qu’il n’y ait pas eu de sanction financière, surtout avec les détails que j’ai donnés lors de la 2e plainte qui montrent que le gérant sait exactement ce qu’il fait et qu’il est conscient d’enfreindre la loi.
Le 10/04/2018 à 14h56
Le 10/04/2018 à 14h59
Ethiquement, c’est pas terrible qu’une organisation avec des pouvoirs de sanction se finance sur lesdites sanctions.
Le 10/04/2018 à 15h03
… sauf les taxes qui sont sensées servir à financer tout ou partie du service rendu. Soyons précis.
Le 10/04/2018 à 15h05
peut-être, mais on s’écarte de mon propos qui est que la CNIL ne prononce pas assez de sanctions financières et surtout qui n’en prononce pas alors que ça serait justifié.
Le 10/04/2018 à 16h02
Le 11/04/2018 à 06h25
on s’écarte de mon propos qui est que la CNIL ne prononce pas assez de
sanctions financières et surtout qui n’en prononce pas alors que ça
serait justifié.
Le 13/04/2018 à 11h33
Quels étaient les faits exactement ?
Le 10/04/2018 à 13h06
J’ai fait 1 plainte en 2016, j’avais eu un courrier avec le résultat (rappel à l’ordre effectué).
" />
J’ai fait 2 plaintes en 2017, sensiblement identiques, cette fois je n’ai eu aucune nouvelle, je ne sais même pas si elles ont été traitées
Le 10/04/2018 à 13h38
J’ai engagé 3 plaintes en 2017, dont 2 contre la même boîte, un récidiviste donc. La 1ère fois la CNIL a froncé les sourcil, et la 2e fois la CNIL a fait les gros yeux.
" />. Mais mon but est juste d’emmerder Orange et de lui coûter plus cher que les honteux et abusifs 50€ de frais de résiliation de l’ADSL 
" />. Z’avaient qu’à pas me prendre pour un demeuré et enfreindre la loi.
En 2018, j’en suis déjà à 2, dont une contre Orange pour le même motif que la Quadrature du Net, mais 3 jours avant l’article sur NXI
8 360 plaintes à la CNIL en 2017, 341 contrôles, 79 mises en demeure, 9 sanctions pécuniaires, 5 avertissements
C’est effectivement un record d’inefficacité qui nous coûte la bagatelle de 10 millions d’€ environ chaque année.
Si la CNIL sanctionnait suffisamment, elle pourrait être auto-financée, et je ne sais pas si je vais encore me retenir longtemps d’écrire cette suggestion à Monsieur le Premier Ministre. 10 millions d’€ d’économie au budget de L’État, c’est toujours bon à prendre.