Les enseignements à tirer du rapport d’activité de la CNIL pour l’année 2019 et les limites posées récemment par le Conseil d’Etat
Corinne Thiérache et Alice Marie
Dans son rapport d’activité publié début juin 2020, la CNIL revient sur les temps forts de 2019 et les grands enjeux à venir. En cette deuxième année d’application du Règlement général sur la protection des données (RGPD), la CNIL constate des chiffres inédits qui témoignent d’une forte mobilisation des citoyens et des entreprises autour de la protection des données. L’année 2019 a également été marquée par une sanction record, traduisant l’activation des nouveaux plafonds de sanctions prévus par le RGPD.
• La CNIL, « alliée de confiance du quotidien numérique »
Selon un sondage IFOP réalisé en octobre 2019, 68% des Français se disent plus sensibles à la question de la protection de leurs données personnelles. Cette prise de conscience va de pair avec des inquiétudes grandissantes : les piratages ou vols de données, les spams et sollicitations commerciales ou encore l’utilisation des données par les réseaux sociaux.
Parallèlement, 21 000 délégués à la protection des données (DPO) supplémentaires ont été désignés (soit 31% d’augmentation par rapport à 2018).
• Hausse du nombre de plaintes
En 2019, la CNIL a reçu 14 137 plaintes, soit une hausse de 27% par rapport à 2018 (11 077). Près d’un tiers des plaintes porte sur la publication de données personnelles sur internet. De plus, 422 plaintes étaient relatives au déréférencement et la CNIL a obtenu la résolution des situations dans 98% des cas transmis aux moteurs de recherche.
Les plaintes concernent principalement la prospection commerciale, associative et politique (14,7% des plaintes), la surveillance des employés sur leur lieu ou pendant leur temps de travail (10,7% des plaintes), des demandes d’effacement de contenus concernant des articles de presse en ligne, ou encore les défauts de sécurisation des données.
Les principaux secteurs concernés par les plaintes sont les suivants : internet/télécom (34%), commercial (23%) et travail (18%).
• L’activité de contrôle et de sanction au cœur de la régulation du numérique
En 2019, la CNIL a effectué 300 contrôles, dont 169 sur place, 53 en ligne, 45 sur pièces et 18 auditions.
En outre, 8 sanctions ont été prononcées, dont 7 amendes d’un montant total de 51 370 000 euros, comprenant la plus forte amende prononcée à ce jour par une autorité de protection des données en Europe, à savoir la décision de la CNIL du 21 janvier 2019 condamnant la société GOOGLE à une amende d’un montant de 50 millions d’euros, confirmée par une décision du Conseil d’État en date du 19 juin 2020.
Ces sanctions concernaient principalement des atteintes à la sécurité des données personnelles, des manquements à l’obligation d’information des personnes, des manquements liés aux durées de conservation des données et le non-respect du droit d’accès prévu par le RGPD.
Par ailleurs, 42 mises en demeure ont été prononcées, dont 2 publiques en raison de l’importance des manquements constatés, ainsi que 2 rappels à l’ordre et 2 avertissements.
• Conseil aux pouvoirs publics et au Parlement et accompagnement des professionnels intensifié
En 2019, la CNIL a participé à 33 auditions parlementaires et donné 117 avis sur des projets de textes.
La CNIL a également renforcé sa doctrine en 2019 : la liste des opérations de traitements nécessitant une analyse d’impact relative à la protection des données (AIPD) a été complétée par une liste des traitements pour lesquels, au contraire, une analyse n’est pas requise.
• Une coopération européenne et internationale renforcée
La coopération entre les autorités européennes continue de se développer. 79 décisions finales ont été adoptées dans le cadre européen en 2019.
En outre, 4 nouvelles lignes directrices européennes ont été adoptées sur le champ d’application territorial, les codes de conduite, la base légale « contrat » pour la fourniture de services en ligne, ou encore les dispositifs vidéo. 2 consultations publiques ont également été amorcées, l’une sur la protection des données dès la conception et par défaut (data protection by design and by default), l’autre sur les critères du droit à l’oubli dans les moteurs de recherche.
Au niveau international, les autorités réunies au sein du Comité européen de la protection des données (CEPD) ont émis un avis favorable sur le premier outil de transferts de données entre autorités publiques dans le domaine des services financiers et participé à l’évaluation annuelle du cadre juridique de transferts de données commerciales entre l’UE et les Etats-Unis (Bouclier de protection des données).
• Les enjeux de la CNIL pour 2020 et 2021
– Une recommandation sur les cookies et autres traceurs
Concernant le ciblage publicitaire en ligne, la CNIL a proposé un plan d’action le 28 juin 2019 qui a deux objectifs : répondre aux plaintes individuelles et collectives et accompagner les professionnels du secteur du marketing digital dans leur mise en conformité par rapport aux obligations du RGPD.
Après la publication de lignes directrices le 19 juillet 2019 et à la suite d’une consultation publique conduite du 14 janvier au 25 février 2020, la CNIL publiera une recommandation proposant des modalités opérationnelles de recueil du consentement.
En raison de la crise sanitaire, et comme nous l’avions indiqué le 31 mars 2020, la recommandation de la CNIL a été reportée et n’est pas attendue avant septembre 2020.
En particulier, la CNIL a annoncé dans un communiqué que la publication finale de la recommandation prendra acte de la décision du Conseil d’Etat rendue le 19 juin 2020, laquelle annule partiellement les lignes directrices de la CNIL du 4 juillet 2019 relatives aux cookies et autres traceurs à la suite du recours de neuf associations professionnelles représentatives du monde du marketing ciblé en ligne (dont le GESTE). La CNIL les ajustera « dans la stricte mesure de ce qui est nécessaire pour tirer les conséquences de cette décision. »
Dans sa décision, le Conseil d’Etat juge en effet que la CNIL ne pouvait pas légalement interdire dans ses lignes directrices les « cookies walls », pratique qui consiste à bloquer l’accès à un site internet en cas de refus des cookies. Il juge ainsi qu’en déduisant une interdiction générale et absolue de la seule exigence posée par le RGPD d’un consentement libre de l’utilisateur au dépôt de traceurs, la CNIL a excédé ce qu’elle pouvait légalement faire dans le cadre d’un acte de « droit souple ».
Par ailleurs, le Conseil d’Etat a souligné que les éditeurs de sites n’avaient pas besoin de demander un consentement spécifique pour chaque finalité distincte, l’internaute pouvant donner un consentement global. En revanche, le consentement de l’utilisateur doit être précédé d’une information spécifique pour chacune des finalités.
Enfin, le Conseil d’Etat confirme la légalité des autres points contestés, concernant la facilité de refus ou de retrait du consentement aux cookies, la durée recommandée de conservation des cookies ou l’information des utilisateurs sur les cookies non soumis au consentement préalable.
Après la décision du Conseil d’Etat du 27 mars 2020 rappelant à la CNIL la portée géographique nécessairement limitée du droit au déréférencement, cette nouvelle décision du Conseil d’Etat portant sur les lignes directrices du 4 juillet 2019 est un signal clair lancé à la CNIL contre toute velléité de surinterprétation du texte européen. Cette situation permet aux acteurs économiques, notamment à ceux représentés par les neuf associations professionnelles à l’origine de cette dernière action, de rééquilibrer le rapport de forces avec la CNIL et ainsi instaurer un dialogue constructif pour faire avancer sur la nécessaire protection des données personnelles prenant en compte d’autres paramètres, notamment l’environnement de l’économie digitale et ses contraintes.
– Participer activement aux débats sur la reconnaissance faciale
Si la reconnaissance faciale connaît de nombreuses avancées (par exemple en ce qui concerne la reconnaissance d’émotions) et si des impératifs de sécurité sont apparus ces dernières années, la CNIL a appelé dès 2018 un débat et y a contribué le 15 novembre 2019 en publiant ses objectifs :
o Présenter techniquement la reconnaissance faciale et la diversité des usages ;
o Mettre en lumière les risques (technologiques, éthiques ou sociétaux) ;
o Rappeler le cadre s’imposant aux dispositifs (RGPD, directive « Police-Justice », loi Informatique et Libertés) ;
o Préciser le rôle de la CNIL dans les futures expérimentations (pouvoirs d’enquête et de mesures correctrices, être conseillère dans les futurs débats).
– La mobilisation de la CNIL face à la pandémie du Covid-19
Depuis mi-mars 2020, la CNIL est mobilisée pour protéger la vie privée et les libertés des personnes dans le contexte de la crise sanitaire. Elle a publié de nombreux contenus sur le télétravail, la continuité des activités, la recherche ou encore les données qui peuvent être traitées par les employeurs.
Dans ce contexte, et comme nous l’avions indiqué le 28 mai dernier, CNIL a été saisie en urgence par le Gouvernement d’avis sur les fichiers SI-DEP et Contact Covid et sur l’application mobile StopCovid. Après s’être prononcée sur les projets de décrets, la CNIL a entamé début juin une campagne de contrôle de ces outils.
Par ailleurs, de nouveaux dispositifs de caméras dites « intelligentes » sont envisagés par des acteurs publics et privés pour faciliter la gestion de la crise sanitaire. Toutefois, leur déploiement présente des risques importants pour les droits et libertés des citoyens. Le 17 juin 2020, la CNIL a précisé les règles applicables et appelé à la vigilance, dans la mesure où ces dispositifs doivent apporter des garanties au regard du RGPD (proportionnalité, durée de conservation limitée, mesures de pseudonymisation ou d’anonymisation, absence de suivi individuel, etc.). En outre, si des données sensibles sont traitées, telle que la captation d’informations personnelles de santé ou d’informations biométriques, ou si le droit d’opposition n’est pas possible (du fait, par exemple, du « balayage vidéo » de la caméra dans une rue), il est nécessaire de prévoir un cadre légal adapté.
– Les axes stratégiques de la CNIL
Enfin, le rapport mentionne 5 axes stratégiques qui permettront à la CNIL, d’ici 2021, de « construire des solutions durables respectueuses des textes et appliquées par tous, pour poser un cadre sécurisant pour les entreprises et les consommateurs » :
o Donner la priorité aux enjeux numériques de la vie quotidienne des Français ;
o Assumer une régulation équilibrée de la protection des données entre répression et accompagnement ;
o Offrir une expertise publique de pointe sur le numérique et la cybersécurité ;
o Incarner un service public innovant et rassemblé autour de ses valeurs ;
o Prendre une part active dans la géopolitique internationale de la donnée et s’engager dans une véritable « diplomatie de la donnée ».
Ce sont autant d’enjeux passionnants sociétaux et de problématiques juridiques et/ou techniques auxquels les avocats d’Alerion du Département Protection des données personnelles sont particulièrement aguerris pour accompagner au mieux leurs clients dans le cadre de leur mise en conformité en amont de tout contrôle de la CNIL ou dans le cadre de contrôle diligenté par la CNIL.
Corinne Thiérache, Associée et Alice Marie, Elève-Avocat