leungchopan - stock.adobe.com
2023, une année record pour la CNIL avant les Jeux olympiques
Ce 23 avril, la Commission nationale de l’informatique et des libertés (CNIL) a présenté son bilan pour l’année 2023. L’autorité constate une forte hausse des plaintes – 35 % – et des demandes d’exercice des droits indirects – 217 % – qu’elle a tout de même pu traiter, en un temps moyen record de 12 jours.
Depuis 2021, la CNIL met moins l’accent sur ses sujets d’investigation de prédilection que sur la réponse aux plaintes et aux demandes recevables d’exercice des droits indirects. En 2023, l’autorité a reçu 16 433 plaintes, soit une hausse de 35 % par rapport à 2022. Ces dépôts ciblent en priorité les acteurs des télécoms et d’Internet (35 %), les commerces (18 %) et les employeurs (18 %).
La publicité en ligne, la collecte et l’utilisation de données de santé, la protection des droits des salariés, ou encore la vidéosurveillance dans les espaces publics et privés (60 % des situations sont liés à la présence de caméras sur les lieux de travail) sont des motifs réguliers de plainte.
Cette année encore, « elle en a instruit autant, qu’elle en a reçu », malgré une augmentation importante des sollicitations.
Exercice des droits indirects : la CNIL a subi la (trop ?) grande popularité de son téléservice
Un autre sujet retient l’attention. En 2022, elle avait observé une hausse de 27 % des demandes d’exercice des droits indirects. En 2023, elles ont cru de 217 %, avec 20 810 demandes comptabilisées (pour plus de 24 000 reçues) contre 6 555 l’année précédente. Celles-ci ont mené à 6 950 vérifications, contre 5 800 en 2022. Environ 91 % de ces réclamations EDI sont liés au FICOBA, le fichier des comptes bancaires et assimilés. En clair, les citoyens français qui ont eu recours à cette demande ont souhaité vérifier si l’on a usurpé leur identité pour ouvrir un compte bancaire.
La CNIL explique cette explosion par l’ouverture en 2023 d’un téléservice à l’exercice de ces droits. En a résulté un délai supplémentaire « dans le temps de traitements de certaines demandes ». La commission se dit en réflexion pour améliorer cet indicateur clé.
De fait, elle rapporte avoir considérablement amélioré ses délais moyens de traitement de 23 jours en 2022 à 12 jours en 2023. En 2021, elle mettait 53 jours à traiter un dossier. Le recours à des vérifications en ligne et la mise en place d’une suite de scripts pour vérifier des éléments de conformité simples sur des sites Internet expliquent en partie cette réduction des temps de traitement.
Plus de sanctions, mais des amendes moins importantes
En 2023, la CNIL a prononcé 42 sanctions pour 340 contrôles, dont 57 % ont été conduits après des plaintes et des signalements et 37 % ont avoir avec les thématiques prioritaires de la CNIL. En 2022, l’autorité avait effectué 345 contrôles et prononcé 43 sanctions. Soit un niveau constant par rapport à l’année dernière.
Pour autant, elle juge que son activité répressive est « toujours plus importante ». D’autres indicateurs lui permettent d’affirmer cela. Ce sont 24 sanctions qui ont été prononcées dans le cadre de la procédure simplifiée instaurée en 2021, contre quatre en 2022. Celles-ci impliquent une amende maximale de 20 000 euros et représentent un total de 229 450 euros en 2023.
Dans le rapport, il est mentionné six sanctions prononcées par la CNIL après concertations avec les autres autorités européennes de protection des données personnelles. Celles-ci concernent Doctissimo (380 000 euros), Cityscoot (125 000 euros), Criteo (40 millions d’euros), NS Cards (105 000 euros), et KG COM (150 000 euros).
Le document rappelle par ailleurs qu’Amazon France Logistique a été sanctionné à hauteur de 32 millions d’euros le 27 décembre dernier pour avoir surveillé ses employés dans un de ses entrepôts.
Par ailleurs, la Commission a émis 36 amendes, contre 19 en 2022 et effectué 168 mises en demeures, en hausse de 14 % par rapport à l’année précédente (147) ainsi que 33 rappels à la loi. Malgré l’accroissement des plaintes en 2023, elle a récolté 89,17 millions d’euros d’amendes, soit 12 millions de moins que l’année précédente.
En matière de cybersécurité, la CNIL a reçu 4 668 notifications de violations de données, en hausse de 14 % par rapport à 2022, mais seulement 39 d’entre elles ont amené la CNIL à effectuer des vérifications. Dans un même temps, « le manquement relatif à la sécurité des données personnelles a été retenu à l’encontre de sept organismes qui n’avaient pas mis en œuvre toutes les mesures nécessaires pour assurer la sécurité des données », avance l’autorité. En clair, l’usage du protocole HTTP, la faiblesse de mots de passe ou le stockage en clair de données personnelles sont passibles de sanctions, prévient la CNIL.
Toutefois, elle n’observe pas que les organismes ont baissé leurs gardes. « Au contraire », ils seraient « – dans l’ensemble – de mieux en mieux organisés pour faire face aux incidents » et en limiter les effets. Et de renchérir sur les travaux effectués pour mettre à jour ses guides en matière de cyberprotection.
Se préparer pour les Jeux olympiques, l’IA Act en tâche de fond
Et en 2024, l’autorité prévoit déjà la hausse des demandes d’exercice des droits indirects en 2024. En cause, les jeux olympiques et paralympiques, qui demandent aux agents de sécurité en phase de recrutement d’obtenir un agrément après une enquête administrative.
« Les personnes concernées par ces emplois sont ainsi susceptibles d’engager des démarches en amont pour savoir si elles sont fichées ou à la suite d’un refus d’embauche, pour vérifier si ce refus est lié ou non à leur présence dans un fichier de police », précisent les auteurs du rapport annuel.
De manière générale, la CNIL constate que les JOP de Paris lui donnent davantage de travail. Elle est à la fois sollicitée par les organismes sportifs qui doivent s’assurer de la proportionnalité des traitements de données personnelles, mais également par l’État qui lui a réclamé un avis concernant la loi JOP 24 publié en janvier 2023. L’année dernière encore, elle a ouvert un guichet pour que les fournisseurs d’algorithmes puissent vérifier qu’ils respectent bien les lois en matière de protection des données. Onze d’entre eux ont été accompagnés par la Commission. Rappelons que le Conseil d’État a autorisé le temps de l’événement le test de la vidéosurveillance par algorithme pour huit cas d’usage ne concernant pas la reconnaissance faciale. Auprès de l’État encore, elle a émis plus de 102 avis au sujet de projets de texte.
Enfin, en matière d’intelligence artificielle, la Commission se prépare à l’entrée en vigueur de l’AI Act. Outre la création d’un service IA qui ne représente que 3 postes sur 288, elle a surtout proposé un plan d’action, mené des discussions, créé des fiches (LeMagIT reviendra en détail sur ce sujet) et des projets d’accompagnement en vue de l’application de la réglementation européenne. Comme le texte a été validé en 2024, elle se donne jusqu’à 2026 pour préparer la société française, organismes d’état comme entreprises, à l’appliquer tout en respectant le RGPD. Si des députés et le Conseil d’État l’ont recommandée pour mettre en application le texte, elle ne semble pas avoir reçu un mandat clair de la part de l’exécutif pour favoriser son implémentation en France.
Pour approfondir sur Réglementations et Souveraineté
-
Ransomware & RGPD : amende de 900 000 euros pour une filiale de la poste italienne
-
Teams : pour la Commission européenne, Microsoft a bien enfreint les règles de la concurrence
-
NIS 2 : à quelles éventuelles sanctions s’attendre ?
-
Ransomware : Hunters International apparaît recycler des données volées par Hive