Écrit le 05/06/2023
Dans son rapport, la CNIL revient sur les temps forts de l’année 2022 marquée notamment par l’évolution du cadre européen de régulation de la donnée, les enjeux de cybersécurité et un renforcement de l’accompagnement des entreprises et administrations.
Créée en 1978 par la loi « informatique et libertés », la Commission nationale de l’informatique et des libertés (CNIL) est une autorité administrative indépendante (AAI) chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés. Ainsi, elle est chargée de veiller à ce que l'informatique soit au service du citoyen et qu'elle ne porte atteinte ni à l'identité humaine, ni aux droits de l'homme, à la vie privée, aux libertés individuelles ou publiques. Le rapport annuel de la CNIL revient sur les évènements qui ont marqué l’année 2022 dans ses quatre champs d’action.
Informer et protéger
L’information des citoyens passe tout d’abord par le canal des sites internet et réseaux sociaux de la CNIL dont la fréquentation est en hausse en 2022. Ensuite, pour les réponses qu’elle apporte aux publics, la CNIL dispose d’un service des relations avec les publics (SRP) qui répond aux appels quatre matins par semaine lors d’une permanence téléphonique dédiée. En 2022, le nombre d’appels reçus par la CNIL a augmenté de 27% par rapport à l’année précédente. L’information passe aussi par l’éducation et la sensibilisation aux enjeux du numérique des jeunes publics. A cet effet, la campagne « Tous ensemble, prudence sur Internet ! » a été lancée en 2022. Il s’agit d’un ensemble de ressources pour accompagner les enfants du CE2 au CM2 dans le monde du numérique, composé de fiches pratiques, jeux et vidéos ludiques.
Pour mieux protéger les données du secteur de l’enfance, la CNIL a adopté le 20 janvier 2022 un référentiel relatif aux traitements de données personnelles mis en œuvre dans le cadre de la protection de l’enfance et des jeunes majeurs de moins de 21 ans. Il s’adresse aux acteurs publics ou privés « concernés par l’accueil, l’hébergement et/ou l’accompagnement sur le plan social, médico-social, éducatif et/ou judiciaire des mineurs et jeunes majeurs de moins de vingt-et-un ans. »
En 2022, la CNIL a reçu 19 610 demandes de personnes signalant un manquement à la réglementation sur la protection des données personnelle (« plaintes ») ou demandant à la CNIL d’exercer pour eux certains droits dont ils disposent sur certains fichiers gérés par les administrations (« demandes d’exercice des droits indirect » - EDI). Le nombre de plaintes est en recul depuis 2019. De plus, pour la première fois depuis l’entrée en application du Règlement général sur la protection des données (RGPD), la CNIL a traité plus de plaintes qu’elle n’en a reçues, ce qui a permis une diminution du stock.
Par ailleurs, la CNIL a généralisé en 2022 un portail permettant aux usagers de suivre plus facilement les étapes d’avancement de leur dossier, facilitant et sécurisant également leurs échanges. Elle a également mis en place un téléservice dédié au recueil des « demandes d’exercice des droits indirect ».
Accompagner et conseiller
L’un des objectifs de la CNIL est la mise en conformité. Pour ce faire, elle met à disposition des professionnels publics et privés des outils, guides et fiches pratiques, et leur offre la possibilité de bénéficier d’un accompagnement sectoriel voire individuel dans certains cas.
La CNIL a publié cinq guides en 2022 portant notamment sur la cybersécurité ou la commande publique. L’un d’entre eux était à destination des délégués à la protection données (DPO). Elle a également refondu son MOOC[1] « Atelier RGPD » et l’a mis à disposition en juin 2022. Il permet de sensibiliser et former les professionnels aux notions essentielles de la protection des données et d’accompagner leur mise en conformité. L’accompagnement passe notamment par la formation des DPO. Or, la CNIL souligne qu’un tiers d’entre eux n’a suivi aucune formation informatique et liberté / RGPD depuis 2016 alors que 75% d’entre eux expriment un besoin de formation de perfectionnement et de sensibilisation.
L’année 2022 a également été marquée par la publication de la position de la CNIL sur le déploiement des caméras « augmentées »[2] dans les espaces publics. Elle a organisé une consultation publique et a publié sa position en juillet 2022. Elle indique que cette technologie présente des risques nouveaux pour les droits et libertés des personnes notamment du fait du risque de surveillance et d’analyse constant de l’espace public.
Anticiper et innover
La CNIL mène une démarche proactive pour détecter les nouveaux usages qui pourraient avoir des impacts importants sur la vie privée. Pour ce faire, elle dispose d’un laboratoire d’innovation numérique (LINC) qui réfléchit, informe et partage ses travaux sur les tendances émergentes. Pour 2022-2023, son programme de travail s’articule autour de quatre axes :
- « Evaluer l’impact de la protection des données sur la protection de l’environnement.
- Vers une meilleure compréhension de l’économie des données.
- La protection des données au quotidien : pratiques et perceptions des utilisateurs.
- Les nouvelles formes de captation de données. »
La CNIL a accru son champ d’expertise en matière d’intelligence artificielle (IA). Pour sensibiliser sur ce sujet et accompagner les professionnels, elle a publié un ensemble de contenus dédiés à ce sujet. Enfin, elle s’est prononcée, comme ses homologues européens, sur le projet de règlement sur l’intelligence artificielle proposé par la Commission européenne en 2021. Dans un rapport d’août 2022, le Conseil d’Etat a recommandé d’attribuer à la CNIL le rôle d’autorité de contrôle nationale pour l’application de cet éventuel règlement. Ce faisant, la CNIL a créé un nouveau service en son sein dédié à l’IA en 2023.
Contrôler et sanctionner
La CNIL exerce également des activités répressives ayant pour but de sanctionner un manquement à la loi ou au RGPD par des acteurs publics ou privés. En effet, à l’issue des contrôles et de l’instruction réalisée par ses services, la Présidente de la CNIL peut décider de clôturer un dossier, prononcer une mise en demeure ou saisir la formation restreinte de la CNIL en vue de prononcer une sanction financière à l’encontre de l’organisme contrôlé.
La CNIL a procédé à 345 contrôles en 2022, 43% résultent d’une plainte d’un particulier, 47% résultent de la seule initiative de la CNIL. En sus des trois thématiques prioritaires annuelles de contrôles (prospection commerciale ; outils de surveillance dans le cadre du télétravail et utilisation du cloud / informatique en nuage), les contrôles ont porté sur divers sujets à l’instar du traitement des données de l’Etat ou de la cybersécurité.
En 2022, la CNIL a émis 21 sanctions et 147 mises en demeure et le montant cumulé des amendes dépasse les 100 millions d’euros. Un tiers des sanctions comporte un manquement à la sécurité des données personnelles. Enfin, la CNIL a adopté une procédure simplifiée permettant de traiter plus efficacement les dossiers ne présentant pas de difficulté juridique ou technique majeure. Ainsi, alors que pour la procédure classique, le montant des amendes peut s'élever jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, la sanction encourue dans le cadre d’une procédure simplifiée est de 20 000 euros maximum.
[1] Formation en ligne, gratuite et ouverte à tous.
[2] Il s’agit de caméras reposant « sur l’utilisation de logiciels de traitements automatisés d’images, permettant non plus seulement de filmer des personnes mais également de les analyser de manière automatisée afin de déduire certaines informations les concernant. »