Les données personnelles, préoccupation croissante des Français
L’attention portée au respect des données personnelles s’intensifie. La Cnil a enregistré une nouvelle hausse des plaintes, en 2019. Davantage sollicitée, sur les dispositifs mis en place avec la pandémie, elle reste aussi mobilisée sur la mise en conformité au RGPD et l’évolution des outils et pratiques numériques.
La place occupée par le droit des données personnelles dans la vie des entreprises et des particuliers ne cesse d’augmenter depuis l’entrée en application, en France et dans toute l’Union européenne, du Règlement général sur la protection des données (RGPD) : 68 % des Français se disent désormais plus sensibles à la question de la protection de leurs données personnelles. En parallèle, les entreprises ont bien compris l’intérêt, sur le plan de la communication, notamment, de pratiques respectueuses de la vie privée de leurs clients. Le rapport annuel d’activités de la Cnil pour 2019 illustre parfaitement la place croissante des sujets liés au respect de la vie privée des individus, pour le meilleur… et pour le pire. Pour le pire d’abord, puisque les plaintes déposées auprès de la Commission nationale de l’informatique et des libertés ont augmenté de 27 % en un an (soit 14 137) et de 79 % en cinq ans ! De nombreuses sanctions ont d’ailleurs été prononcées par la Commission en 2019, pour non respect des règles issues du RGPD, à hauteur de plus de 51 millions d’euros, dont 50 millions pour la seule société Google (sanction la plus importante prononcée en Europe, à ce jour, en matière de protection des données). L’augmentation du nombre de sanctions a été possible, notamment, du fait de la diversification des canaux de contrôle utilisés par la Cnil : aux contrôles sur place ou sur pièces s’ajoutent désormais les contrôles en ligne, qui permettent de démultiplier l’action répressive de l’autorité française indépendante. Au total, 300 contrôles ont été menés l’an dernier. Plus de 2 200 failles de sécurité ont également été notifiées à la Cnil par des organismes ayant constaté une atteinte à la confidentialité, à l’intégrité ou à la disponibilité des données personnelles traitées par leurs soins.
RGPD, StopCovid, cookies, reconnaissance faciale…
Mais l’année 2019 a aussi été l’occasion, pour chacun, de prendre parfaitement conscience des nouvelles protections accordées par le RGPD, depuis sa mise en application en mai 2018. Ainsi, plus de 62 000 comptes ont été créés sur le MOOC proposé par la Cnil sur son site pour découvrir et approfondir les règles issues du RGPD. De même, de plus en plus d’entreprises désignent désormais (en interne ou en externe), un «Data Protection Officer» (DPO), chargé de la mise en œuvre de leur conformité au RGPD (21 000 nommés l’an dernier, soit + 31 % par rapport à 2018). La Cnil se positionne aussi sur des sujets opérationnels importants pour les entreprises et les citoyens, comme les cookies, la reconnaissance faciale, l’application du «Cloud Act» américain en Europe, ou encore la protection des données personnelles, dans le cadre de la recherche scientifique. Ce dernier sujet continue, cette année, à occuper l’autorité française de protection des données, qui a joué un rôle central dans la validation de l’application gouvernementale StopCovid. Il devrait rester sensible dans les mois à venir, au vu des récentes polémiques sur la collecte, par l’application, de données plus larges que ce qui était prévu initialement, ou de la suspension d’une application similaire en Norvège, jugée trop intrusive. De manière plus générale, la Cnil tente, depuis plusieurs années, de faire preuve de pédagogie et d’accompagner les opérateurs dans leurs efforts de mise en conformité au RGPD : de nombreux contenus, guides, modèles, outils et lignes directrices sont librement accessibles sur son site.
Viviane GELLES, avocat associé