La CNIL vient de rendre public son rapport d’activité sur l’année 2018.

Année particulièrement intéressante en raison de l’entrée en vigueur du RGPD, ce rapport permet de mieux appréhender l’action de la CNIL, à travers ses actions concrètes, leur contexte et leurs conséquences.

Il est toutefois à noter que le RGPD étant entré en vigueur en mai, le bilan de 2019 sera certainement plus signifiant quant à la portée de ce règlement.

Ce bilan permet néanmoins de mieux comprendre la politique générale de la CNIL, et partant, la manière dont elle réalise ses contrôles.

Il convient, de tirer de ce rapport les enseignements afin d’adapter et d’améliorer encore ses pratiques, et ainsi de protéger mieux encore les données personnelles traitées.

Enfin, il n’est pas inutile de rappeler que la protection des données personnelles n’est et ne doit pas être un vœu pieux.

Il s’agit d’un sujet d’actualité qui doit être traité avec le plus grand sérieux, au bénéfice de chacun, surtout lorsque l’on sait qu’actuellement (et ces exemples ne sont probablement qu’anecdotiques) les données personnelles d’1,4 millions de français sont en vente sur le « dark web », provenant de 208 cyberboutiques et vendues entre 2€ et 4€.

Le site ZATAZ, spécialisé dans la sécurité informatique, nous indique que les données en question comportent adresses emails, adresses physiques, numéros de téléphones et autres données traitées par lesdites boutiques…
12 millions de canadiens sont actuellement dans la même situation…

 

I. Chiffres clefs – Contrôles, Signalements, Sanctions

L’étude des chiffres clefs révélés par la CNIL rappelle donc, s’il en était besoin, que le RGPD n’est pas à ranger au rang des anecdotes, que les contrôles sont nombreux et peuvent effectivement donner lieu à des sanctions.

Il convient donc, dès lors que l’on traite des données à caractère personnel, de se montrer particulièrement vigilant et de s’assurer que le traitement opéré répond en tous points aux exigences du RGPD.

En 2018, 1 170 notifications de violations de données sont parvenues à la CNIL et 11 077 plaintes ont été déposées.

Les données personnelles sont donc toujours un objet convoité, sujet à des abus, et l’augmentation de 32,5% du nombre de plaintes par rapport à 2017, traduit un intérêt croissant des individus pour la protection de leurs données.

Contrôles et sanctions – La mise en conformité au RGPD est-elle vraiment utile ? Risque-t-on réellement d’être contrôlé ? Des sanctions peuvent-elles vraiment être appliquées ?

Autant de questions auxquelles ce rapport répond assez clairement…

En 2018, la CNIL a procédé à 310 contrôles, émis 48 mises en demeure et prononcé 19 sanctions pécuniaires.

La sanction pécuniaire la plus lourde prononcée en 2018 l’a été contre la société UBER qui a été condamnée par la CNIL à 400 000 euros d’amende, sachant que le plafond alors applicable n’était pas celui de 20 millions d’euros, mais le plafond antérieur au RGPD qui était de 3 millions d’euros.

Il est à noter que si 57% des contrôles effectués résultent de l’initiative de la CNIL, 22% d’entre eux résultent de l’instruction d’une plainte ou d’un signalement.

De même, la majorité des sanctions prononcées l’ont été ensuite d’incidents de sécurité ayant affecté des données personnelles.

Il en ressort que, pour chacune des plus de 3,8 millions de PME françaises, le risque d’être contrôlée spontanément par la CNIL est faible, sauf dans le cadre d’une activité qui comporte, en elle-même un risque particulier ou fait partie du programme annuel de la CNIL.

Le risque d’être contrôlé est en revanche omniprésent face à la menace d’un incident de sécurité ou d’un défaut de conformité faisant l’objet d’un signalement, d’une plainte ou d’une notification par tout intéressé.

 

 

 

II. Axes d’action de la CNIL

Le rapport annuel de la CNIL mentionne, au chapitre dédié aux contrôles, un programme de contrôle portant sur plusieurs grands axes, dont la sécurité des données et l’utilisation des services en ligne dits « du quotidien ».

 

A. La sécurité des données

La CNIL est particulièrement vigilante aux risques liés aux failles de sécurité.

Chaque signalement donne lieu à une vérification par les agents de la CNIL et, le cas échéant, déclenche des mesures qui vont de la simple prise de contact à la sanction pécuniaire.

Toute entreprise française traitant des données doit ainsi être particulièrement vigilante à la sécurisation des données qu’elle traite.

Il convient en premier lieu de s’assurer de la sécurité du système informatique afférent, notamment en faisant appel à des prestataires particulièrement diligents.

Cette sécurisation passe également par la mise en place de mesures simples et efficaces comme l’attribution d’accès ad hoc, et non généralisés à tous les salariés, aux données personnelles dans une entreprise, la mise en place de pares feux, de mot de passes sécurisés protégeant des sessions individualisées etc.

La CNIL insiste par ailleurs sur la nécessité de prévoir une procédure de gestion d’incidents en interne.

La définition de cette procédure et sa mise en œuvre sont typiquement à insérer dans un guide des bonnes pratiques à mettre à disposition des salariés, voire à faire signer par ceux dont les fonctions impliquent un accès à des données personnelles.

 

B. L’utilisation des services en ligne au quotidien

Il conviendra d’être particulièrement vigilant si l’on réalise un traitement de données personnelles dans le cadre de l’exploitation de services proposés en ligne « au quotidien ».

La CNIL rappelle notamment avoir réalisé, dans ce secteur, des contrôles sur la base de plaintes, mais également de signalement dans les médias !

La CNIL a ainsi contrôlé des sites marchands classiques, mais également des sites proposant des services d’auto-école en ligne, d’organisation d’obsèques, de rédaction de contrats, ou de réservation des restaurants…

Plus le service proposé est susceptible de toucher un public large, plus la base de données personnelles constituée est importante et plus le risque de contrôle s’accroit, fort logiquement d’ailleurs.

Si la mise en conformité et la sécurisation des données personnelles traitées ne doit pas être réalisée uniquement en vue d’échapper à un contrôle, ce paramètre est à prendre en compte pour mesurer l’urgence d’une mise en conformité, si elle n’est déjà faite.

 

C. Focus

Les données de santé – La CNIL fait clairement ressortir de son rapport un attachement particulier à la sécurisation des données sensibles que sont les données de santé.

Un point est fait sur les contrôles opérés auprès des compagnies d’assurances et professions liées qui ont accès à ce type de données.
Il en ressort que la CNIL prête une attention particulière :

  • au respect des règles de confidentialité des données de santé et du secret médical ;
  • aux conditions d’accès aux données de santé par du personnel non médical (nécessité de l’accès, formation adéquate) ;
  • ainsi qu’aux règles classiques d’information des patients quant à l’utilisation de leurs données, mais surtout au recueil préalable de leur consentement (qui n’est pas toujours respecté).

Les dossiers d’agences immobilières – La CNIL a réalisé de nombreux contrôles aux fins de veiller au respect par les agences immobilières du décret du 5 novembre 2015 sur les droits des locataires.

S’il en ressort que globalement les dossiers demandés correspondent aux dispositions du décret, l’analyse se poursuit pour vérifier que les durées de conservation et les mesures de sécurité protégeant les données sont conformes.

Les algorithmes de traitement – La CNIL s’est intéressée au secteur du recrutement, et notamment à l’accumulation et au traitement de données personnelles par l’intermédiaire d’algorithmes utilisés en mode SaaS.

La CNIL s’est, encore une fois, attachée au contrôle des durées de conservation, aux mesures de sécurité et de confidentialité des données.

Il en ressort que des difficultés sont manifestes quant à l’information préalable des personnes (et donc à leur consentement), dans le contexte d’un traitement automatisé d’un volume important de données.

 

OPTIQUES POUR 2019

L’action de la CNIL en 2019 s’inscrira manifestement dans la continuité de 2018.

Il convient de noter à ce sujet qu’elle a indiqué qu’elle se concentrerait particulièrement sur les plaintes reçues et leur traitement.

Cette information doit pousser les PME à soigner leur conformité, pour éviter d’être l’objet d’un signalement ou d’une plainte.

Il faudra ainsi garder en tête le triptyque suivant :

  • un traitement librement consenti ;
  • un traitement raisonné et nécessaire ;
  • un traitement sécurisé.

Ce d’autant plus que la CNIL et la DGCCRF ont signé un nouveau protocole le 31 janvier 2019 renforçant encore leur collaboration et la mise en commun de leurs moyens et expertises d’enquête.

Tout contrôle par l’une peut ainsi entraîner un contrôle par l’autre…

 

 

Toute l’équipe du cabinet EPSILON est à votre disposition si vous avez des questions complémentaires sur ce sujet.

Contacter Maître Grimaud Valat