Communiqué de la CNIL du 10 juillet 2012
L’année 2011 a une fois encore montré une activité en forte croissance avec 1969 décisions adoptées (+25,5 % par rapport à 2010), 5738 plaintes enregistrées (+19% par rapport à 2010) et 385 contrôles réalisés (+25% par rapport à 2010). Au-delà de ces chiffres, cette année marque indéniablement une extension des compétences de la CNIL : contrôle de la vidéoprotection, labellisation, notification des violations de données à caractère personnel et premiers travaux issus de la direction de la prospective.
Un nombre record de plaintes
Le chiffre de 5738 plaintes reçues est le plus élevé jamais enregistré parla CNIL. Iltémoigne de l’intérêt de plus en plus marqué des personnes pour la protection de leurs données et de la sensibilité de cette question à l’ère du numérique. Le service de plaintes en ligne disponible depuis 2010 facilite également la démarche des citoyens (26% des plaintes ont été reçues via cnil.fr en 2011, chiffre désormais supérieur à 40% depuis le début de l’année 2012).
Au-delà de ce volume important, l’année 2011 aété marquée par de nouvelles tendances quant à l’objet des plaintes. Ainsi, les problématiques de « droit à l’oubli » sur internet – suppression de textes, photographies ou vidéos en ligne – enregistrent une progression de 42% par rapport à 2010 avec 1 000 plaintes enregistrées.
De même, les plaintes liées à la gestion des ressources humaines représentent 670 plaintes, soit 12% du total des plaintes ; la moitié de ces plaintes concerne spécifiquement la surveillance des salariés. A titre d’illustration, on constate des hausses importantes par rapport à 2010 notamment en matière de :
– Cybersurveillance (+59%) : il s’agit des dispositifs mis en œuvre par l’employeur pour contrôler l’utilisation des outils informatiques et l’accès à la messagerie électronique ;
– Sécurité des données de ressources humaines (+27%) : faille de sécurité du réseau informatique ou erreur humaine ayant pour conséquence la divulgation, aux collègues ou plus largement sur internet, de données telles que le numéro de sécurité sociale, les revenus ou les coordonnées des salariés.
Enfin, la CNIL reçoit toujours un nombre important de plaintes dans les secteurs de la banque et du crédit, ainsi qu’en matière de fichiers commerciaux (gestion des fichiers clients ou envoi de publicité).
Des compétences élargies décidées par le Législateur : contrôle de la vidéoprotection et notification des violations de données à caractère personnel
La CNIL contrôlait jusqu’alors les seuls dispositifs de vidéosurveillance dans les lieux non-ouverts au public. Depuis la LOPPSI 2 du 14 mars 2011, la CNIL est également compétente pour contrôler les dispositifs de vidéoprotection (pour les lieux ouverts au public et la voie publique) afin de s’assurer qu’ils sont conformes aux obligations légales. Elle est la seule, depuis mars 2011, à pouvoir diligenter des contrôles sur les dispositifs de vidéoprotection et de vidéosurveillance sur l’ensemble du territoire national. En tout, près de 950 000 dispositifs sont concernés.
La CNIL a procédé à 150 contrôles de dispositifs de vidéoprotection en 2011 et déjà 80 en 2012. Ces contrôles peuvent être diligentés par la Commission à son initiative, à la demande de la commission départementale de vidéoprotection ou encore à la demande du responsable d’un dispositif de vidéoprotection. Le contrôle mené par la CNIL consiste en une visite sur place. Ces différents contrôles ont révélé des lacunes ou des manquements :
– Une nécessaire clarification du régime juridique ;
– Une information des personnes insuffisante ou inexistante ;
– Une mauvaise orientation des caméras ;
– Des mesures de sécurité insuffisantes.
Forte de ces constats, la CNIL, tout en poursuivant sa politique de contrôle, accompagne les professionnels et les particuliers pour que ces dispositifs soient plus respectueux de la vie privée. Elle a ainsi élaboré une « boîte à outils » constituée de fiches pratiques leur expliquant concrètement comment installer des dispositifs dans le respect de la loi et du droit des personnes filmées. Ces fiches portent sur :
– La vidéoprotection sur la voie publique
– La vidéosurveillance au travail
– Les caméras dans les commerces
– La vidéosurveillance dans les établissements scolaires
– La vidéosurveillance dans les immeubles d’habitation
– La vidéosurveillance chez soi
En outre, elle a élaboré avec l’AMF (Association des Maires de France) un vademecum de bonnes pratiques à destination des maires qui souhaitent installer des systèmes de vidéoprotection dans le respect des libertés individuelles. Ces 10 conseils sont disponibles sur les sites de l’AMF et de la CNIL.
La seconde extension de compétences procède de la transposition de la directive révisant le « paquet télécom » qui impose aux fournisseurs de services de communication électronique de notifier à la CNIL les violations de données à caractère personnel. Cette obligation a été insérée dans la loi informatique et libertés et le décret n°2012-436 du 30 mars 2012 a précisé les mesures d’application.
Les opérateurs concernés sont désormais obligés d’informer la CNIL en cas de violation de l’intégrité ou de la confidentialité des ces données. La CNIL peut ensuite exiger que le fournisseur avertisse les personnes concernées en cas de risque d’atteinte aux données à caractère personnel ou à la vie privée dela personne. Cettecompétence nouvelle, dont l’ampleur n’est pas encore connue va impacter l’activité de la CNIL et exiger une réactivité et une expertise technologique renforcées. Elle témoigne aussi de l’adaptation du champ des compétences de la CNIL aux évolutions technologiques impliquant le recours à des données personnelles.
De nouveaux outils et une approche prospective pour un environnement évolutif
Dans la logique de mise en conformité dynamique qui est la sienne, la CNIL a été autorisée par le législateur à délivrer des labels à des procédures ou à des produits respectueux des principes et règles de la loi « informatique et libertés ». A la demande d’organisations professionnelles et d’institutions, la CNIL a créé en octobre 2011 deux premiers référentiels : un pour les procédures d’audit et un pour les formations. Depuis, elle a reçu près de vingt demandes de délivrance de labels. Les cinq premiers labels ont été délivrés le 14 juin 2012 (4 labels ont été attribués à des formations et un à une procédure d’audit). Le label CNIL offre la possibilité aux entreprises de se distinguer par la qualité de leur service. Pour les utilisateurs, c’est un indicateur de confiance dans les produits ou procédures labellisés, qui permet ainsi d’identifier et privilégier les organismes qui garantissent un haut niveau de protection de leurs données personnelles. La CNIL contribue ainsi à bâtir un pacte de confiance entre les citoyens et les utilisateurs de données personnelles.
Créée en janvier 2011, la Direction des études, de l’innovation et de la prospective (DEIP) est un centre de ressources, de prospective et de veille. Elle contribue à l’identification et l’analyse des usages innovants des technologies et leurs évolutions surla régulation. La CNILsouhaite ainsi anticiper sur l’innovation technologique, sociale et juridique, la comprendre et l’accompagner pour un meilleur respect des droits et libertés du citoyen.
La DEIP a ainsi fait réaliser un sondage par Médiamétrie en 2011, pour mieux connaître et comprendre les usages quotidiens des utilisateurs de smartphones et évaluer leur perception des enjeux de protection des données personnelles. Les principaux constats dégagés, à savoir une opacité sur les données utilisées et un défaut de sécurisation du smartphone ont conduit à un plan d’action axé sur une pédagogie des usages. Un tutoriel vidéo expliquant comment sécuriser son smartphone a ainsi été mis en ligne en janvier.
Un laboratoire a également été crée pour tester et expérimenter des produits et applications innovantes. L’objectif est ainsi de procéder à un examen complet, à la fois juridique et technologique, des dispositifs soumis àla CNIL. Lestests réalisés par ce laboratoire sont ainsi en partie à l’origine d’un « guide pratique sécurité », mis en ligne en juillet 2012, destiné aux responsables de systèmes d’informations, publics ou privés, pour identifier les menaces et les risques pesant sur les données personnelles qu’ils utilisent, et y remédier.
De même, pour la première fois, la CNIL a organisé en mars 2012, en association avec des acteurs du numérique, un événement participatif et ouvert (barcamp) autour de la protection des données personnelles. Cet événement s’est déroulé à La Cantine, lieu d’échange et espace collaboratif animé pour et par les acteurs du numérique.
Enfin, un Comité de la prospective a été créé en mai 2012 afin de renforcer la mission de veille et de réflexion prospective dela CNIL. Ce comité qui réunit des experts extérieurs témoigne d’une démarche pluridisciplinaire d’ouverture et de confrontation d’idées.
A télécharger :
– 32ème Rapport d’activité 2011
– Dossier de presse : présentation du 32ème Rapport d’activité 2011
Voir également :
– Les perspectives pour 2012-2013 : la régulation des données personnelles au service d’une véritable « éthique du numérique » (communiqué du 10/07/2012, CNIL)