Recevez chaque jour toute l'actualité du numérique

x

Hausse des plaintes, sanction record, cookies… La Cnil dresse son bilan pour 2019

Comme chaque année, la Cnil dresse son bilan. Pour 2019, l'autorité protectrice de la vie privée a vu le nombre de plaintes augmenter de 27%, dont la majorité porte sur la publication de données personnelles sur Internet. La sanction de 50 millions d'euros infligée à Google représente presque à elle seule la totalité des amendes prononcées en 2019.
Twitter Facebook Linkedin Flipboard Email
×

Hausse des plaintes, sanction record, cookies… La Cnil dresse son bilan pour 2019
Hausse des plaintes, sanction record, cookies… La Cnil dresse son bilan pour 2019 © Zan-Unsplash

C'est l'heure du bilan. La Commission nationale de l'informatique et des libertés (Cnil) a publié le 9 juin 2020 son rapport pour l'année 2019. "Pour la deuxième année consécutive, la CNIL constate des chiffres inédits. Le nombre croissant de plaintes et les nombreuses désignations de délégués à la protection des données témoignent à nouveau de la très forte mobilisation autour du Règlement général sur la protection des données", se réjouit l'autorité protectrice de la vie privée.

Hausse de 27 % des plaintes
Le nombre de plaintes reçues est en hausse de 27%. Elles sont passées de 11 077 en 2018 à 14 137 en 2019. Près d'un tiers des réclamations porte sur la publication de données personnelles (identité, photographies, vidéos…) sur Internet (moteurs de recherche, réseaux sociaux, sites personnels, presse en ligne, annuaires…). 422 plaintes étaient relatives au déréférencement (+ 13 % par rapport à 2018). La CNIL a obtenu la résolution des situations dans 98 % des cas transmis aux moteurs de recherche. L'autorité français note par ailleurs avoir reçu près d’une centaine de plaintes relatives à des demandes d’effacement de contenus concernant des articles de presse publiés en ligne (retrait de l’article, anonymisation, désindexation).

10,7% des plaintes reçues concernent la surveillance des employés secteur privé et public confondus sur leur lieu ou pendant leur temps de travail par des outils tels que vidéosurveillance, géolocalisation, écoutes téléphoniques… La vidéosurveillance concentre le plus de plaintes, notamment lorsque les caméras filment les postes de travail en permanence ou les lieux de pause, enregistrent le son ou lorsque les images sont visibles à distance.
 


La Cnil a effectué 300 contrôles
Sur le volet répressif, la Cnil a procédé à 300 contrôles (169 sur place, 53 en ligne, 45 sur pièce et 18 auditions). Dans 41% des cas, ces contrôles font suite à des plaintes ou des réclamations. La Commission a également traité 80 cas issus de signalements de violations de données personnelles. Plusieurs mauvaises pratiques ressortent de ces investigations, concernant notamment des délais excessifs pour répondre aux demandes d’exercice de droits, l’absence de lien de désabonnement dans les courriels de prospection commerciale et le fait qu’un client ne puisse pas supprimer son compte en ligne par lui-même. A l'inverse, plusieurs bonnes pratiques sont à souligner comme l’élaboration, de réponses types à destination du service client pour gérer l’exercice des droits des personnes ou encore l'utilisation d’une adresse électronique dédiée par un service unique.

D'après le rapport, 42 mises en demeure ont été prononcées en 2019, dont 2 publiques, ainsi que 2 rappels à l’ordre et 2 avertissements. La mise en demeure est une procédure qui peut intervenir après une plainte ou un contrôle et est décidée par la Présidente de la Cnil. Il ne s’agit pas à proprement parlé d’une sanction même si l'organisme ciblé dans la procédure voit sa réputation entachée. Les mises en demeure rendues publiques l’ont été en raison des manquements importants constatés. La moitié des mises en demeure a porté sur le droit au déréférencement, droit d’opposition ou droit d’accès.

Google remporte la plus grosse sanction
Au regard du RGPD, l'autorité protectrice de la vie privée peut prononcer des sanctions à l'égard des responsables de traitements. Le montant de l'amende peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4% du chiffre d’affaires annuel mondial. En 2019, 8 sanctions ont été prononcées : 7 amendes d’un montant total de 51 370 000 euros (1,196 million en 2018) et 5 injonctions sous astreinte.

Ces sanctions concernaient des atteintes à la sécurité des données personnelles et des manquements à l’obligation d’information des personnes et aux durées de conservation. La plus grosse sanction a été infligée à Google avec 50 millions d'euros pour ses pratiques abusives dans la collecte et l'utilisation de données personnelles à des fins publicitaires sur Android.

Cookies et reconnaissance faciale au menu de 2020
La Cnil conclut son rapport sur les principaux enjeux de 2020. Deux chantiers sont au cœur des enjeux sur les données personnelles : les cookies et la reconnaissance faciale. Sur le premier thème, deux textes encadrent leur usage : la directive ePrivacy, qui est transposée en droit français dans la loi Informatique et Libertés et le RGPD, qui vient renforcer les exigences en matière de validité du consentement. Un futur règlement "vie privée et communications électroniques" est en cours de discussion au niveau européen.

La Cnil a proposé un plan d’action le 28 juin 2019 qui se poursuit en 2020 et a deux objectifs : construire une réponse aux plaintes individuelles et collectives (La Quadrature du Net, Privacy International, NOYB) et aider les professionnels du secteur marketing à mieux comprendre les obligations du RGPD. Des lignes directrices ont été publiées le 18 juillet 2019. Suite à la publication d'un projet de recommandations sur l'usage des cookies publicitaires, la Cnil avait lancé une consultation publique avant d'adopter une version définitive de son texte.

Mais au vue de la situation sanitaire actuelle en France, le gendarme de la vie privée a annoncé le report de cette version définitive à une date ultérieure. Sur la reconnaissance faciale, l'autorité française renvoie à sa feuille de route publiée en novembre 2019 dans laquelle elle rappelle les risques liés à cette technologie et la nécessité de déployer des expérimentations très encadrées.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media