Cnil : nouveau record des plaintes et contrôles en 2012

Encore un chiffre record l’an dernier, lié à « l’explosion des données personnelles ». En 2012, la Cnil a enregistré le nombre de plaintes le plus élevé depuis sa création : 6 017, en hausse de 4,9 % par rapport à 2011. Son service de plaintes en ligne, disponible depuis 2010, a contribué partiellement à cette augmentation : l’an dernier, 44% des plaintes ont été reçues via le site cnil.fr.
L’exercice du droit d’opposition à figurer dans un fichier constitue le principal motif de saisine, soit 46% des plaintes reçues. La tendance observée en 2011 se confirme : 31% des plaintes concernent l’exercice du « droit à l’oubli » sur Internet (suppression de textes, photographies ou vidéos en ligne), soit 1050 plaintes. 21% des plaintes visent la suppression de ses données des fichiers publicitaires, clients et bancaires et 15% sont liées à des problématiques de gestion des ressources humaines (vidéosurveillance, géolocalisation, accès au dossier professionnel) ; 10% concernent le secteur bancaire et du crédit (inscription dans le fichier national des incidents de remboursement des crédits aux particuliers (FICP) et au fichier central des chèques et des retraits de cartes bancaires).
Enfin, 8% des plaintes reçues traitent des libertés publiques et des collectivités avec une part significative de celles liées aux opérations électorales, presse en ligne, documents publics diffusés sur internet par des collectivités locales.

Contrôles et sanctions

Les contrôles ont été à nouveau renforcés en 2012 : sur les 458 effectués (+19%) 285 ont porté sur des dispositifs relevant la loi « Informatique et Libertés », 23 % dans le cadre de l’instruction de plaintes, 11 % dans le cadre de la procédure de sanction afin de vérifier le respect des engagements pris par un responsable de traitement mis en demeure par la Cnil, et 26 % au regard de l’actualité.

Suite aux 300 plaintes relatives aux dispositifs de vidéosurveillance (lieux non ouverts au public) et vidéoprotection, qui relèvent de la loi du 21 janvier 1995 (voie publique et lieu ouvert au public nécessitant une autorisation préfectorale), la Cnil a réalisé 173 contrôles (75% de ces plaintes concernaient la vidéosurveillance sur les lieux de travail).
Enfin, l’année 2012 a été marquée par l’augmentation du nombre de sanctions rendues publiques par la formation restreinte de la Commission avec 8 des 13 sanctions rendues publiques, ainsi que l’adoption des premières mises en demeure publiques (réforme introduite par la loi du 29 mars 2011 relative au Défenseur des droits).

La Cnil et le secteur public

La Cnil a effectué 93 contrôles dans le secteur public, dont 57 au regard de la conformité à la loi Informatique et Libertés et 36 relatifs aux dispositifs de vidéoprotection. Depuis la loi Loppsi 2 du 14 mars 2011, la Cnil est également compétente pour contrôler les dispositifs de vidéoprotection pour les lieux ouverts au public et la voie publique.
Les vérifications dans le secteur public ont ensuite porté sur les fichiers d’antécédents judiciaires (STIC-JUDEX) ; les données de santé gérées par les grands groupes hospitaliers ; la délivrance des visas dans les consulats, notamment par rapport aux données biométriques ; les fichiers « sociaux » mis en œuvre par les collectivités locales et les centres d’action sociale (CCAS).
A ce titre, il est utile de préciser que le programme annuel des contrôles de la Cnil pour 2013 comprend les traitements des données relatives aux difficultés sociales des personnes, détenus par les communes, CCAS ou Conseil généraux, qui comportent des enjeux majeurs en termes de protection (sécurité, partage entre les différents acteurs de la sphère sociale voire au-delà, durée de conservation).
La Cnil accompagne également le secteur public : un vademecum, publié avec l’Association des Maires de France (AMF), rappelle aux collectivités locales les dix points pour assurer la sécurité collective dans le respect des libertés individuelles. En 2012, la Commission a également fixé le cadre de la mise en ligne des archives publiques en adoptant une autorisation unique [1] . Ellle concerne la mise en ligne de documents d’archives sur Internet dans le cadre de la mise en valeur du patrimoine à des fins historiques, scientifiques ou statistiques, conformément aux dispositions du Code du patrimoine ou à des fins de diffusion du patrimoine pour consultation par le grand public sur Internet.
La notification des violations de données à caractère personnel
Cette nouvelle mission de la Cnil, qui a pour origine la transposition en droit interne de la directive européenne révisant le « Paquet télécom », impose aux fournisseurs de services de communications électroniques d’informer la Cnil en cas de violation de l’intégrité ou de la confidentialité des données à caractère personnel qu’ils traitent.
Cette obligation concerne les fournisseurs d’accès à internet (FAI), de téléphonie fixe ou mobile, lorsque la violation intervient dans le cadre de leur activité de fourniture de services de communications électroniques. Concrètement, dès qu’un opérateur constate une violation de données, il doit sans délai en informer la Cnil, ainsi que les personnes concernées par cette violation, sauf s’il avait mis en œuvre des mesures techniques qui rendent les données incompréhensibles à toute personne non autorisée à y accéder. La Cnil peut, si elle estime que la gravité de la violation le justifie, mettre en demeure le fournisseur d’informer les personnes dont les données ont fait l’objet de cette violation. A ce jour, elle n’a reçu que 18 notifications de violation de données personnelles. Un nombre faible qui, selon elle, s’explique par le fait que les modalités de mise en œuvre de cette nouvelle obligation ont été fixées tardivement, par un décret d’application du 30 mars 2012.

A noter que le projet de règlement européen relatif à la protection des données, qui doit remplacer la directive européenne en la matière et se substituera donc à la loi Informatique et Libertés, prévoit la généralisation de cette obligation de notification à l’ensemble des responsables de traitement.