Numérique

Plus de plaintes, contrôles, sanctions... la CNIL poursuit son activité sur sa lancée

Après cinq ans de mise en œuvre du Règlement général sur la protection des données (RGPD), la Commission nationale Informatique et Libertés (CNIL) a reçu un nombre record de plaintes en 2023 et prononcé deux fois plus de sanctions qu’en 2022.

(© Adobe Stock)
(© Adobe Stock)

Publié fin avril 2024, le rapport annuel 2023 de la CNIL dresse le bilan d’une activité intense sur l’ensemble de ses missions. En ce qui concerne l’information et la protection du grand public, l’année a été marquée par une forte hausse de nombre des plaintes reçues (+35% par rapport à 2022). La Commission a reçu et traité 16 433 plaintes en 2023 et a enregistré (via l’ouverture d’un téléservice dédié) 20 810 demandes d’exercice des droits indirects pour l’accès à certains fichiers bancaires ou de police (+217%, par rapport à 2022).

De plus en plus sollicitée par le grand public

Avec 11,8 millions de visites, le site web la CNIL a également enregistré un nouveau record d’audience l’an passé, et une augmentation de 35% du nombre de visites de sa base de questions-réponses. Ses services ont également répondu à plus de 47 000 appels lors des permanences téléphoniques. Cookies, intelligence artificielle, hameçonnage, fichier national des incidents de paiement, casier judiciaire… L’intérêt des professionnels et des particuliers pour la protection des données semble croître au fil des ans. En 2023, la CNIL a aussi poursuivi ses actions d’éducation au numérique (plus de 80 interventions dans différentes régions auxquelles ont participé plus de 4 000 personnes) et, pour compléter les actions qu’elle mène déjà, elle a créé une mission de sensibilisation du grand public et organisé des conférences et des ateliers dans plusieurs régions.

Accompagnement renforcé en matière d’intelligence artificielle

Autre grande mission : accompagner les professionnels dans leur mise en conformité avec le RGPD. En 2023, la CNIL a ainsi reçu 1 651 demandes de conseil et publié cinq nouveaux guides, quatre référentiels, deux recommandations et deux méthodologies de référence (pour le secteur de la santé). Elle a également renforcé son accompagnement sur l’intelligence artificielle et lancé un nouveau « bac à sable » réglementaire en matière de données personnelles, réservé aux projets de services publics. Trois entreprises innovantes ont ainsi bénéficié de cet accompagnement renforcé en matière d’intelligence artificielle. Et des « Journées RGPD » destinées aux professionnels et aux étudiants ont eu lieu à Marseille, Reims, Rennes et Toulouse.

Deux fois plus de sanctions qu’en 2022

L’activité de la Commission a par ailleurs été très soutenue en ce qui concerne sa mission de contrôle des manquements à la réglementation sur la protection des données. Elle a effectué 340 contrôles (sur la base de plaintes ou de sa propre initiative), prononcé 42 sanctions (deux fois plus qu’en 2022), 168 mises en demeure, 33 rappels aux obligations légales, et infligé 36 amendes (pour un total de plus de 89 millions d’euros). À noter : la moitié des sanctions ont été prononcées dans le cadre de la procédure simplifiée, créée en 2021.

Réfléchir au numérique de demain et aux enjeux éthiques

Enfin, pour favoriser les échanges entre régulateurs et chercheurs à l’échelle internationale, la CNIL a notamment organisé la deuxième édition du Privacy Research Day. Elle a par ailleurs publié sa feuille de route sur l’intelligence artificielle et un nouveau cahier de son Laboratoire d’innovation numérique, consacré aux liens entre protection des données et de l’environnement, et organisé une rencontre dédiée aux enjeux éthiques sur le thème « IA et libre-arbitre : sommes-nous des moutons numériques ? ».

Les thématiques de contrôles prioritaires en 2024

En février dernier, la Commission a dévoilé les thèmes sur lesquels elle va concentrer ses contrôles cette année. Il s’agit des données des mineurs sur les applications et sites les plus appréciés par les enfants et les adolescents, des fichiers liés aux Jeux Olympiques et Paralympiques (JOP), des tickets de caisse dématérialisés et des programmes de fidélité, et du droit d’accès des personnes à leurs données.

En ce qui concerne la collecte de données dans le cadre des JOP, les contrôles doivent porter, en particulier, sur le strict usage qui en sera fait par la billetterie et les dispositifs de sécurité prévus ( caméras de vidéoprotection, habilitations d’accès et QR codes dans les zones à accès restreints...).

Quant aux programmes de fidélité de la grande distribution, ils permettent de collecter de très nombreuses informations (habitudes alimentaires, âge des enfants, animaux domestiques…) qui peuvent être réutilisées pour de la prospection et du ciblage publicitaires. La CNIL souhaite vérifier si le consentement des consommateurs a été respecté avant toute réutilisation de ces données.

Miren LARTIGUE