Bilan 2011 de la Cnil : nouveau record de plaintes et de con

Activité toujours plus soutenue pour la Commission nationale informatique et libertés qui a publié son bilan pour l’année 2011, le 10 juillet dernier. Sur les 6 000 plaintes reçues l’an dernier, un millier concernent le “droit à l’oubli” sur Internet.

Quelque 5 740 plaintes ont été enregistrées par la Cnil, l’an dernier… Un chiffre record depuis la création de l’autorité indépendante, en hausse de 19% par rapport à 2010. Son service de plaintes en ligne, disponible depuis 2010, a contribué partiellement à cette augmentation – l’an dernier, 26% des plaintes ont été reçues via le site cnil.fr – et depuis le début de l’année 2012 ce chiffre est déjà supérieur à 40%.
Au-delà de ce volume important, la Commission présente, dans son 32e rapport d’activité, les nouvelles typologies des plaintes. Une sur six concerne désormais l’exercice du “droit à l’oubli” sur Internet (pour demander la suppression de textes, photographies ou vidéos en ligne), en hausse de 42% entre 2010 et 2011. Quelque 670 sont liées à la gestion des ressources humaines (12% du total), dont la moitié touche spécifiquement la surveillance des salariés, avec une augmentation de 59% des plaintes relatives à la cybersurveillance (contrôle de l’utilisation des outils informatiques et de l’accès à la messagerie électronique). Enfin, classiquement, subsiste un nombre important de réclamations relatives à la gestion des fichiers clients ou l’envoi de publicité, et de problèmes dans les secteurs de la banque et du crédit.

Près de 400 contrôles. C’est pourquoi, et comme annoncé, la Cnil a renforcé ses contrôles : elle en a réalisé 385 l’an dernier, soit 25% de plus qu’en 2010 ; 40% d’entre eux ont été menés dans le cadre de son programme annuel. Par exemple, pour vérifier les traitements de données de santé au sein d’établissements de soins (cliniques, hôpitaux, etc.), auprès d’hébergeurs de données de santé, d’agrégateurs de données médicales, etc. Ont été également ciblés une vingtaine de sites de commerce en ligne (problématique du nouveau régime juridique des “cookies”), des prestataires en marketing (routeurs et agences de publicité), ainsi que des entreprises intervenant dans la gestion de données clients ou prospects. Ou encore des multinationales basées en France qui avaient obtenu des autorisations de transfert de données hors de l’Union européenne.
La Commission a poursuivi ces vérifications auprès d’agences de recherche privée et de recouvrement. Ses investigations et les sanctions adoptées dans ce secteur, en 2006, ont d’ailleurs contribué à “fortement structurer ce milieu professionnel dont les acteurs se sont, par exemple, largement dotés de correspondants informatique et libertés”, estime l’autorité indépendante. Ensuite, 24% des contrôles ont été opérés dans le cadre de l’instruction de plaintes, 11% dans le cadre de procédures de sanction et un quart en réaction à des sujets d’actualité (notamment suite à la révélation de failles sécurité).
L’année 2011 fut également l’occasion de nouvelles investigations dans le cadre de partenariats que l’organisme a passé avec d’autres autorités administratives, comme la Direction générale de la concurrence, de la consommation et de la répression des fraudes (protocole signé le 6 janvier 2011). Des échanges d’informations lui ont ainsi permis d’intervenir, par l’envoi de courriers ou de procédures de contrôle sur place, auprès de sites internet sur lesquels les enquêteurs de la DGCCRF avaient relevé des manquements. La Cnil a également effectué un certain nombre de contrôles sur la base de signalements venant de l’inspection du travail ou de saisines du Défenseur des droits.
Et les prochains mois s’annoncent tout aussi chargés. Outre les mutations structurelles liées au développement du numérique, la Cnil devra prendre en considération le futur cadre de la protection des données en Europe (projet de règlement européen), qui devrait simplif ier considérablement la procédure de déclaration mais en contrepartie instaurera de nouvelles contraintes et obligations à la charge des responsables de traitements (tenue d’une documentation, analyse d’impact relative à la protection des données, privacy by design – protection des données dès la conception –, etc.). “Une étape décisive”, souligne l’autorité indépendante.