Ce qu’il faut retenir du rapport 2023 de la CNIL
Le 44ème rapport annuel de la CNIL a été publié il y a un peu plus d’un mois. C’est l’occasion de revenir sur l’histoire et les missions de la CNIL, ainsi que de dresser le bilan de ses actions l’année dernière.
CNIL, RGPD, données personnelles… de quoi parle-t-on ?
La CNIL (Commission Nationale de l’Informatique et des Libertés, créée par la loi Informatique et Libertés du 6 janvier 1978) est une autorité administrative indépendante, qui veille au respect de la vie privée et au bon usage des données personnelles des citoyens français, dans le respect des libertés individuelles et des droits fondamentaux.
Les données personnelles sont les informations se rapportant à des personnes, et qui permettent de les identifier ; une personne peut être identifiée par une seule donnée (numéro de sécurité sociale), ou par le croisement de plusieurs données (combinaison de date de naissance, adresse du lieu de travail, et adhésion à une association).
En France et en Europe, le traitement des données personnelles est encadré par le RGPD (le Règlement Général sur la Protection des Données), entré en vigueur en 2018. Ce règlement harmonise les lois mises en place par les différents pays de l’Union Européenne, et offre un cadre juridique à tous les acteurs européens (régulateurs, entreprises et citoyens) pour permettre aux entreprises d’innover sans menacer les droits et libertés des citoyens.
Les missions de la CNIL
L’action de la CNIL s’articule autour de quatre missions :
- Informer et protéger les droits : par des actions de communication, la publication des guides, la CNIL informe les citoyens et les professionnels de leurs droits et devoirs. Elle répond également aux demandes des citoyens lorsqu’ils se posent des questions sur l’exercice de leurs droits, et les aide à exercer ces droits.
- Accompagner et conseiller : la CNIL assiste les professionnels dans leur mise en conformité au RGPD, par la création de boîtes à outils (guides, checklists) et des actions d’accompagnement
- Anticiper et innover : pour pouvoir répondre aux usages émergents des outils numériques, la CNIL organise une veille technologique permanente. Elle contribue au développement de solutions de protection de la vie privée dès la conception, pour que les outils de demain respectent les droits des citoyens.
- Contrôler et sanctionner : enfin, la CNIL a le pouvoir de contrôler la conformité des professionnels au RGPD, et de prononcer des sanctions en cas de non-respect des règles (mises en demeure, amendes…)
Le rapport annuel revient sur ces quatre missions et leur exercice en 2023.
Les droits des usagers
La CNIL informe les usagers de leur droit, et les aide à les exercer lorsque les usagers estiment qu’ils n’ont pas été respectés. Pour rappel, ces droits sont :
- le droit d’accès : consulter ses données personnelles dans un fichier
- le droit de rectification : demander la mises à jour de ses données personnelles
- le droit d’opposition : s’opposer à ce que ses données soient enregistrées, diffusées, transmises ou conservées
- le droit à la portabilité : récupérer une partie de ses données dans un format lisible pour pouvoir les stocker soi-même ou les transmettre à un autre service
- le droit au déréférencement : demander le déréférencement (l’oubli) des moteurs de recherche d’une page web associée à son nom et prénom
- le droit à l’effacement (droit à l’oubli) : demander l’effacement de données personnelles
- le droit à la limitation : demander à ce que l’usage de ses données personnelles soient “gelées” temporairement
L’année 2023 de la CNIL
Informer et protéger : un nombre record de saisines et de plaintes
Lorsqu’un usager s’estime victime d’un manquement à la protection de ses données personnelles, ou souhaite exercer l’un de ses droits sur un fichier administratif qui n’est pas consultable par le public (par exemple, un fichier de comptes bancaires), il peut saisir la CNIL : c’est l’autorité compétente en la matière, qui aidera l’usager à faire respecter ses droits.
En 2023, la CNIL a été saisie 40 573 fois, soit deux fois plus que l’année dernière, par des citoyens qui voulaient exercer leurs droits, ou estimaient qu’ils n’avaient pas été respectés. Sur ces 40 573 saisines,
16 433 constituaient des plaintes, c’est-à-dire faisaient suite à un manquement à la protection des données. Elle a également répondu à plus de 47 000 appels.
En outre, la CNIL mène des actions de sensibilisation auprès des professionnels, des administrations et du grand public, et milite pour une éducation aux bonnes pratiques du numérique dès l’école maternelle.
Accompagner et conseiller : consultations publiques et accompagnement sur-mesure
La CNIL accompagne les professionnels pour leur mise en conformité au RGPD. Pour cela, elle publie de nombreux outils (guides, référentiels, fiches pratiques, etc), et propose aussi un accompagnement renforcé pour des entreprises sélectionnées sur dossier.
En 2023, la CNIL a organisé 6 consultations publiques pour recueillir les attentes des usagers et des professionnels, sur des sujets divers tels que l’identité numérique, l’IA, la vidéosurveillance dans les chambres d’Ehpad, etc ; à l’issue de ces consultations, des guides synthétiques et fiches pratiques ont été publiés.
Plusieurs entreprises (Huggingface, Contentsquare, Lifen) ont également bénéficié d’un accompagnement sur-mesure pour évaluer leurs pratiques et les conseiller sur le respect du RGPD.
Enfin, la CNIL accompagne les Délégués à la Protection des Données, qui ont le rôle de veiller à la protection des données personnelles au sein d’une entreprise. En 2023, 34 250 DPD ont été désignés auprès de la CNIL, qui a pu répondre à 700 demandes de conseil et 3 900 appels téléphoniques au sujet de la mise en conformité.
Anticiper et innover
La CNIL mène une réflexion permanente sur les nouveaux usages numériques et leur impact sur les données personnelles. En 2023 s’est tenue la deuxième édition du Privacy Research Day, une conférence internationale sur la protection de la vie privée, qui a attiré plus de 4 000 participants. En outre, la CNIL a publié de nombreux articles et guides sur le site de son laboratoire d’innovation, LINC.
Contrôler et sanctionner
Enfin, la CNIL a pour mission de contrôler la conformité des entreprises aux réglementations sur la protection des données personnelles, et d’en sanctionner les manquements.
En 2023, ce sont plus de 300 contrôles qui ont été effectués, donnant lieu à 42 sanctions, pour un total cumulé de 89 millions d’euros.
Parmi les acteurs ayant été sanctionnés, on peut citer :
- CRITEO, une société de reciblage publicitaire, pour un non-respect du consentement aux cookies (40 M€)
- Amazon France Logistique, pour avoir mis en place un système de surveillance des salariés et de leurs performances excessivement intrusif (32M€)
- Cityscoot, une société de location de scooters, pour avoir mis en place une géolocalisation permanente des utilisateurs (125 000€)
- Le Ministère de l’Économie, pour avoir constitué un fichier des personnes contrôlées en mer par les douanes, sans en informer les usagers et sans informer la CNIL de sa création (mise en demeure).
Conclusion : ce qu’il faut retenir du rapport
Les saisies de la CNIL et les sanctions prononcées ont fortement augmenté en 2023 par rapport aux années précédentes. Cela peut être dû à l’augmentation des infractions, mais aussi à une meilleure connaissance des droits des usagers en matière de protection des données personnelles, ainsi qu’à la progression continue du nombre d’outils de traitement des données.
Avec la multiplication des usages du numérique et du traitement des données personnelles, l’action de la CNIL apparaît plus que jamais comme essentielle.
À propos de l’autrice
Après un doctorat en mathématiques fondamentales, Béatrice CHETARD a rejoint La Javaness en tant que data scientist en mars 2021. Elle s’intéresse à tous les aspects de la data science (données structurées, NLP, computer vision), et tout particulièrement aux question d’éthique et de responsabilité des algorithmes.
Merci à Julien DUTOUR et Laura RIANO pour la relecture de cet article.