Cnil : un nombre de plaintes en croissance sensible en 2018

Marie-Laure Denis, Présidente de la Cnil, 15 avril

Avec l’entrée en vigueur du RGPD, le règlement européen sur la protection des données personnelles, le nombre de plaintes de particuliers déposées auprès de la Cnil (Commission nationale de l’informatique et des libertés) a connu un bond en 2018.

Le buzz médiatique 

Les particuliers s’emparent de leurs nouveaux droits dans la foulée du buzz médiatique autour de la nouvelle loi et les exercent, estime-t-on à la Cnil. Les chiffres pour 2018 ont été présentés à la presse lundi 15 avril par la nouvelle Présidente de la Cnil, Marie-Laure Denis.

En 2018, il y a eu 11 077 plaintes formelles qui ont été déposées auprès de la Cnil

Le nombre de plaintes l’année dernière a connu un bond de 30% alors même que le RGPD n’est entré en vigueur que le 25 mai. Ce sont ainsi 11 077 plaintes formelles qui ont été déposées. C’est une augmentation de 32% par rapport à 2017. Les plaintes pour un peu plus de 1 tiers concernent internet, et les demandes de suppression de contenu que ce soit sur des blogs ou des sites de presse. A noter que certaines plaintes représentent des dizaines de milliers de personnes, c’est le cas des 5 plaintes déposées par la Quadrature du Net contre les Gafa (Google Apple Facebook et Amazon).

La prospection commerciale notamment par téléphone ou pas SMS reste également un vrai sujet (21% des plaintes). Le domaine des ressources humaines avec en particulier la mise en place de vidéo surveillance est également concerné (17%). La Cnil reçoit aussi beaucoup de plaintes sur les inscriptions au fichier de la Banque de France. Le droit à la portabilité des données commence à être exercé observe-t-on à la Cnil. Dans le cadre du RGPD, la commission pointe que les entreprises doivent former les équipes de leur service client aux nouveaux droits des particuliers.  Il est insuffisant de publier de nouvelles conditions d’utilisation sur les sites Web si le call center n’est pas au courant.

30 à 40 millions de personnes touchées par les violations de données

Autre axe clé : les violations de données. Les entreprises doivent désormais notifier les vols de données ou leur exposition sous 72 heures. Si les données sont sensibles, les entreprises doivent avertir les personnes concernées. Ce dernier point demeure améliorable car les entreprises ont du mal à évaluer les risques pour leurs clients, considère la Cnil.

Près de 1200 vols ou expositions de données ont eu lieu en 2018

En 2018, il y a eu 1170 notifications de vols ou d’exposition de données. Il faut souligner que ces violations ont atteint 30 à 40 millions d’individus, indique la Cnil. Elle précise qu’il ne s’agit pas forcément que de Français et qu’une même personne peut être comptabilisée plusieurs fois.

Notons que dans 70 cas, que ces violations concernent des atteintes à l’intégrité de données, à l’instar d’étudiants modifiant leurs notes d’examen. Lors de ces violations de données, les entreprises sont alors très réceptives aux conseils de la Cnil. Une seule mise en demeure a été prononcée. Parmi les vols de données, on trouve bien sûr les attaques informatiques, de serveurs ou les ransomware, mais également les vols de PC qui aboutissent à la disparition de données. Et il y a la publication involontaire de données à l’occasion d’une mise à jour de serveur par exemple ou l’envoi de données vers la mauvaise personne.


Un réseau de 18 000 délégués à la protection des données

Au passage, la Cnil attire l’attention sur les arnaques de vente agressive de prestations RGPD inutiles. Ce sont les médecins, les pharmaciens et les dentistes qui sont les plus visés par ce type d’escroquerie. La Cnil s’est rapprochée face à cela de la DGCCRF (Direction générale de la Concurrence, de la Consommation et de la Répression des fraudes).

51 000 organismes se sont dotés d’un délégué à la protection des données

Parallèlement, avec la montée en puissance du RGPD, le réseau des délégués à la protection des données s’étoffe. De 5000 professionnels en 2018, on dénombre désormais 18 000 DPO (Data Protection Officer) ou également appelés DPD (Délégués à la protection des données) rendus obligatoires pour certaines organisations. Ces DPO représentent 51 000 organismes. Il existe en effet une mutualisation des prestations de délégué à la protection des données et on trouve notamment des cabinets d’avocats qui proposent ce type de prestations. On décompte 700 structures en France qui commercialisent ce type de service.

Au final, afin d’assurer ses missions la Cnil disposera de 250 agents à la fin de 2019. La Présidente de la Cnil annonce son intention de passer dans une phase a priori plus répressive dans le cadre du déploiement du RGPD, tout en nuançant immédiatement son propos.

La fin d’une certaine forme de tolérance

« En 2019, il y aura une action répressive, de contrôle, de dissuasion, c’est la contrepartie naturelle de la responsabilisation des acteurs qui est une marque du RGPD. On n’est plus dans une logique de déclaration à la Cnil. Ce sont les acteurs eux-mêmes qui doivent se mettre en conformité » rappelle-t-elle. La Présidente se positionne en accompagnement des entreprises.

« La Cnil vérifiera pleinement à partir de maintenant le respect des nouvelles obligations »

« Autant on souhaite autant que possible accompagner les acteurs, cette action d’accompagnement n’a de sens que si l’on peut vérifier qu’ils se mettent en conformité. Donc la Cnil vérifiera pleinement à partir de maintenant le respect des nouvelles obligations, et lorsqu’elle constatera des manquements, elle en tirera des conséquences » débute-t-elle.

C’est la fin de la tolérance, mais la palette de mesures sera large. « 1 an après la mise en œuvre du RGPD, c’est la fin d’une certaine forme de tolérance. Mais la Cnil fera preuve de discernement. Les textes prévoient toute une palette de réponses. La Cnil tiendra compte de la gravité des manquements, de l’activité et de la taille de l’organisme concerné, de sa coopération et de sa bonne foi » conclut-elle.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *