La Cnil enregistre un nouveau record de plaintes en 2018

PARIS, 17 avril 2019 – Le nombre de plaintes reçues par la Cnil continue d’augmenter. Son rapport d’activité 2018, présenté le 15 avril dernier, fait état de 11 077 plaintes enregistrées, soit une augmentation de 32 % par rapport à l’année 2017. Une tendance à la hausse liée au RGPD qui a, d’ailleurs, largement impacté les missions de la Commission.

8 millions de visites sur son site internet, 189 877 appels téléphoniques, plus de 215 000 abonnés sur les réseaux sociaux, 283 742 consultations de la foire aux questions (FAQ)… tels sont quelques-uns des chiffres clés de l’année 2018 présentés par la Cnil le 15 avril. Manifestement, suite à l’entrée en vigueur du RGPD, le 25 mai 2018, la Commission a reçu un afflux de demandes d’informations, de la part notamment des professionnels souhaitant se mettre en conformité. Si elle a poursuivi son œuvre de protection et de contrôle, c’est donc l’information et l’accompagnement des acteurs du RGPD qui ont surtout marqué l’année 2018 et qui devraient continuer à occuper la Commission au cours de l’année 2019.

Le nombre de plaintes est toujours en hausse

En 2017, la Cnil enregistrait 8 360 plaintes, contre 7 703 en 2016. Ce nombre a bondi en 2018 pour atteindre les 11 077 plaintes. Un nouveau record qui peut s’expliquer à la fois par la médiatisation du RGPD et par la sensibilisation des particuliers et des professionnels aux questions de protection des données personnelles. Le pourcentage de plaintes concernant les ressources humaines est malgré tout resté quasiment inchangé. De 16 % en 2017, il est passé à 16,5 % en 2018. Mais il atteint tout de même la troisième place du podium.

Le principal motif de plainte reste également le même : la vidéo-surveillance excessive des salariés. Et, comme elle l’avait déjà fait l’année passée, la Commission a dénoncé une pratique émergente, celle de la captation du son couplé à la vidéo et du visionnage à distance de ces images par l’employeur. Sur ce sujet, la Cnil a adressé un courrier à la ministre du Travail en décembre 2018, afin de l’alerter sur les risques induits par ces pratiques, qui peuvent conduire une surveillance permanente des salariés pouvant porter atteinte à la protection des données personnelles et étant potentiellement constitutives d’un harcèlement moral. S’agissant de la gestion des plaintes, depuis l’entrée en vigueur du RGPD, lorsque les traitements sont transfrontaliers au sein de l’UE, elles peuvent être traitées par des autorités de protection des données personnelles localisées dans plusieurs pays européens. Désormais, 20 % des plaintes font l’objet de cette coopération européenne.

Les demandes d’informations augmentent

La Cnil est un clairement identifiée comme une source d’informations de référence par les pouvoirs publics. En 2018, sur 342 délibérations, elle a en effet rendu plus de 120 avis sur des projets de textes, tel que le projet d’ordonnance de réécriture de la loi Informatique et libertés (Ord. n° 2018-1125 du 12 décembre 2018, JO 13 décembre) et 110 autorisations. Elle a, en outre, été auditionnée une trentaine de fois par le Parlement. Les professionnels l’identifient également comme une source d’informations. En attestent l’augmentation de 22 % des appels qu’elle a reçus en 2018 par rapport à l’année précédente, les 80 % de visites supplémentaires sur son site internet, ou encore les 59 % de hausse de consultations de ses FAQ. Et « si, à l’approche de l’entrée en application du RGPD, la majorité des questions a porté sur la nécessité ou pas d’effectuer des formalités auprès de la Cnil, les problématiques ont évolué depuis et deviennent de plus en plus complexes », note-t-elle dans son communiqué de presse. Afin d’accompagner au mieux les professionnels, la Cnil a donc élaboré des outils de mise en conformité au RGPD.

Parmi ces outils figurent notamment un guide pratique à destination des TPE/PME, un règlement type biométrie au travail, l’« atelier RGPD », Mooc qui comptabilise déjà 27 500 comptes un mois après son lancement, ou encore des référentiels en matière de certification des délégués à la protection des données. 39 500 organismes ont d’ailleurs désigné un délégué en 2018, ce qui représente environ 16 200 DPD personnes physiques, soit déjà plus de trois fois le nombre des anciens Correspondants informatique et libertés. La Cnil a, en outre, alerté les professionnels contre les « arnaques au RGPD ». La Direction générale de la concurrence, de la consommation et de la répression des fraudes a été saisie à ce propos.

Les volumes de contrôles et de sanctions diminuent

Le nombre de contrôles effectués par la Cnil continue de baisser, conformément à ce qu’elle avait annoncé. Après en avoir réalisé 430 en 2016 et 341 en 2017, elle en a réalisé 310 en 2018. Parmi les 204 effectués sur place, 20 portaient sur des dispositifs vidéo. S’agissant de l’origine des contrôles, 57 % d’entre eux ont été initiés par la Cnil au vu de l’actualité, entre autres, 16 % résultaient du programme annuel des contrôles, 22 % ont été menés suite à une plainte ou à un signalement, et 5 % suite à des mises en demeure ou à des procédures de sanction. Dans le cadre du programme annuel des contrôles pour 2018, ils ont été réalisés sur de nombreuses thématiques, dont les traitements liés au recrutement. Des contrôles ont ainsi été effectués auprès d’organismes ayant recours à des algorithmes de sélection et d’analyse de profils de candidats. Et si cela a permis à ces organismes contrôlés de prendre conscience de la sensibilité des données, reste que certaines pratiques posent encore des difficultés, notamment en termes d’information des personnes. La Cnil devrait donc poursuivre ses contrôles et son analyse en 2019. 49 mises en demeure ont été adoptées en 2018, dont 13 publiques. Elles ont toutes fait l’objet d’une clôture.

Dans l’immense majorité des cas, suite à une plainte ou un signalement, la simple intervention de la Cnil a suffi pour que l’organisme visé se mette en conformité. Ainsi, sur les 1 170 signalements, un seul a donné lieu à une mise en demeure. Concernant les sanctions, 11 ont été prononcées, soit trois de moins qu’en 2017. Dix correspondaient à des sanctions pécuniaires (dont neuf publiques), une à un avertissement non public, et la dernière à un non-lieu. Notons que dans le cadre de la coopération européenne, la Cnil participe à 609 des 858 procédures actuellement en cours d’instruction dans l’Union européenne, et qu’elle est chef de file dans 40 d’entre elles.