40 ans d’existence : un âge d’or atteint en 2018 pour la CNIL !

A l’habitude d’une autorité de contrôle, les débuts d’années sont propices à rendre des comptes et à publier les résultats de l’année précédente dans un rapport d’activité. Tel est le cas de la CNIL qui, forte de l’entrée en application du RGPD puis de l’entrée en vigueur de la nouvelle Loi Informatique et Libertés en juin 2018[1], revient au premier plan dans la protection des données personnelles.

Par cet état de fait, la Présidente de la CNIL s’est d’ailleurs félicitée d’une « année exceptionnelle »[2]logiquement justifiée. En effet, l’intégration d’un régime supranational qu’est le RGPD dans le moteur juridique français incarné par une loi Informatique et Libertés en voie de désintéressement, peut s’analyser en un succès de taille.

Il est évident qu’un changement de cadre légal et règlementaire, ajouté à une véritable prise de conscience des particuliers quant à leurs droits et des professionnels quant à leurs obligations, conduit à une croissance exponentielle de son activité ; cela s’est matérialisé par une montée des sollicitations en matière de désignations de DPO, de traitement des notifications dédiées aux violations de données personnelles, et plus usuellement par le nombre de requêtes adressées quotidiennement aux services de la CNIL.

L’autorité de contrôle a également profité de cet élan donné par cette révolution juridique pour se pencher sur des sujets et des débats ouverts qui nécessitent notre expertise, notre anticipation ainsi que notre proactivité à tous, acteurs dédiés à la protection des données.

 

  1. Un bilan d’activité porteur d’évolutions et d’actions

Comme véhiculé depuis quelques mois, le nombre de plaintes des personnes concernées à destination de la CNIL a considérablement augmenté (plus de 11 000 plaintes constatées en 2018). Cette hausse se justifie aisément par l’idée phare du droit de la protection des données dans sa nouvelle version : attribuer aux personnes concernées par les traitements l’entière maitrise sur leurs données personnelles. Le rapport prend le soin de donner un détail chiffré des secteurs les plus impactés par les plaintes formulées et le résultat est sans appel : l’environnement digital suscite le plus de craintes et peut abriter des comportements qui ne seraient pas en adéquation avec la volonté des utilisateurs ni même avec leurs droits[3].

Entrepreneurs présents sur le marché du digital, veillez au respect des droits de vos utilisateurs et à celui de vos obligationsen tant que responsable de traitement ou bien de sous-traitant.

Malgré la logique de responsabilisation devant être ancrée chez les acteurs intervenant dans des traitements de données personnelles, la CNIL reste en position d’intervenir et notamment, en tant qu’Autorité Administrative Indépendante, d’émettre des avis et recommandations sur les sujets dédiés à la protection des données. Sur ce périmètre, l’autorité a pu agir à différents niveaux. Elle a en effet été au chevet de l’action législative exécutée tout au long d’année 2018[4], ayant abouti à la revue de la Loi Informatique et Libertés : son expertise et son impact lui ont permis en effet d’avoir une implication élargie dans le processus législatif et ainsi de s’orienter, en France, vers une réflexion approfondie sur la protection des données personnelles.

Le champ d’intervention de la CNIL a été maintenu dans le secteur de la santé. En effet, les évolutions législatives n’ayant pas impacté la présence de certaines formalités pour les traitements inhérents à la santé, l’édiction de documentations de références (les méthodologies de références, dites « MR ») comme la publication de décisions uniques ou d’avis complémentaires sur des traitements propres à ce domaine, ont conservé leur place dans l’activité quotidienne de la CNIL.  Elle fait du domaine de la santé un point d’honneur, comme en témoigne tout récemment son implication dans la mise en place d’un guide en collaboration avec le ministère de la santé et la Direction Générale de l’Offre et des Soins (DGOS), pour accompagner les professionnels du secteur[5].

Nous constatons également une évolution des pratiques dédiées à la protection des données à travers les thématiques les plus pointilleuses présentes dans règlementation européenne. De la mise au premier plan des analyses d’impact devant être pratiquées pour les tous les traitements susceptibles d’engendrer des risques pour les personnes concernées, à l’action constamment menée en matière de violations de données personnelles[6], en passant par la gestion de la profession émergeante de Data Protection Officer, la CNIL souhaite agir fidèlement aux principes du RGPD. Un logiciel dédié pour le premier, un accroissement qualitatif du traitement des incidents pour la deuxième, et un véritable travail d’appropriation et de transmission des compétences pour le dernier cas, afin de remplacer le CIL dont le métier se voit considérablement transformé.

Une nouveauté généralisée à différents niveaux, qui conduit indéniablement l’autorité de contrôle au développement de réflexions et d’innovations relatives à la protection des données.

 

2.  Un positionnement sur le futur : entre innovations et pistes de réflexion

L’innovation législative pousse les institutions, les régulateurs et même les acteurs directement concernés, à développer des questionnements, des attentions et parfois même des doutes sur les technologies qui nous entourent. Tout cela représente un intérêt certain pour la CNIL qui y voit des points de vigilance à développer concernant la protection des données personnelles.

Nous assistons aujourd’hui à l’émergence massive des pratiques digitales qui ne peuvent être occultées de la question suivante : comment appliquer les règles relatives à la protection des données pour de telles nouveautés. La CNIL se propose d’étudier les conditions d’applications de l’ensemble des règles et des pratiques conformes à la protection des données. Il est en effet essentiel que l’autorité joue un rôle de recherche pour accompagner les cabinets spécialisés en protection des données travaillant progressivement autour de ces innovations, mais également les entreprises qui se lancent dans l’appropriation de ces technologies et qui doivent être en mesure d’appliquer justement la règlementation.

La CNIL vient également décliner une part de son activité sur des aspects plus humanistes. L’une des grandes questions qui s’est notamment posée est celle du droit de la protection des données concernant les mineurs. En effet, l’existence d’une marge de manœuvre sur la gestion de leur consentement[7]accentue le débat. Un véritable risque existe quant à l’appropriation progressive des technologies par les enfants et de fait, quant à leur exposition face aux entreprises et aux services en ligne à la conquête permanente de la data. L’autorité fait donc de l’application du RGPD et des règles internes une priorité sur cette aire d’action, pour palier tous les risques auxquels une population « sensible » peut faire face.

Parmi les axes de recherche révélés dans son rapport d’activité, la CNIL évoque également la question de l’exploitation et du partage des bases de données à des fins de recherche. Vecteur de non-conformité identifiée depuis l’entrée en application du RGPD (affaire Facebook et Cambridge Analytica), la pratique nécessite en effet d’exploiter un nombre considérable de données personnelles, pour lesquelles il convient, au même titre que des traitements d’envergure moindre, d’appliquer les règles dédiées à la protection des données.

La CNIL peut donc se féliciter, à travers son rapport d’activité[8]d’une activité riche en encadrement et fructueuse en termes d’appropriation du RGPD. L’autorité constituera un axe essentiel de travail pour tous les professionnels du secteur, mais également pour toutes les entreprises privées, entités publiques, et surtout pour les personnes concernées dont la maîtrise en matière de protection des données n’est amenée qu’à s’accentuer.

[1]Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (version consolidée au 19 avril 2019) : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460

[2]Page 10 du Bilan d’activité

[3]Page 43 du Bilan d’activité

[4]Page 53 du Bilan d’activité

[5]Mémento RGPD à l’usage des directeurs d’établissements de santé, édition 2019 : https://solidarites-sante.gouv.fr/IMG/pdf/memento_rgpd-a5-190401-vf.pdf

[6]Pages 56 et 57 du Bilan d’activité

[7]Article 7-1 de la Loi Informatique et Libertés

[8]Rapport d’activité 2018, Commission Nationale de l’Informatique et des Libertés : https://www.cnil.fr/sites/default/files/atoms/files/cnil-39e_rapport_annuel_2018.pdf

 

Par Saber Othmani

Suivez-nous sur Linkedin, Twitter et Facebook

Retour