La Cnil a présenté son rapport d’activité pour 2017 mardi 10 avril. Une nouvelle année record pour l’institution chargée de veiller à la protection de la vie privée des citoyens, avec notamment 4,5 millions de visites enregistrées sur son site, 4124 avis et délibérations rendus, ou encore 8360 plaintes déposées par des citoyens. Isabelle Falque-Pierrotin, présidente de la Commission, a expliqué ce mouvement par « la prise de conscience des citoyens de l’importance de la protection de leurs données, et la préoccupation croissante quant à leur utilisation ».
Si la très grande majorité de ces plaintes concerne la diffusion de données sur Internet et le secteur marketing (notamment pour la prospection par mail ou téléphone), la Cnil a constaté l’émergence de nouvelles tendances, parmi lesquelles :
- des plaintes contre les compteurs communicants, avec par exemple des plaintes de mairies qui pointent un manque d’information sur l’installation des compteurs Linky et Gazpar (données collectées, destinataires…) ;
- des plaintes contre le dispositif de lecture automatisé des plaques d’immatriculation (Lapi) dans le cadre de la dépénalisation du stationnement payant ;
- des plaintes contre le manque d’information des agents chargés de la prise d’empreintes digitales des demandeurs de titres d’identité, qui ne sont pas toujours conscients de la possibilité pour la personne de refuser la numérisation et l’enregistrement des empreintes.
Mise en conformité avec le RGPD
Mais surtout, pour la Cnil, 2017 aura été l’année de la préparation à l’entrée en vigueur, le 25 mai prochain, du Règlement européen sur la protection des données personnelles (RGPD), qui bouleversera la matière. Elle a ainsi accompagné l’ensemble des opérateurs, publics ou privés, dans la mise en conformité à cette nouvelle réglementation.
Pour ce faire, la priorité a été mise sur la pédagogie. « Le premier niveau de régulation, c’est la pédagogie », a estimé Isabelle Falque-Pierrotin. Pour l’aider dans cette tâche, la Cnil s’est appuyée – et continuera de le faire – sur des « têtes de relais ». Concernant les collectivités, ces relais sont clairement identifiés : il s’agit des associations d’élus. Un partenariat a été signé en 2017 avec l’ADF, prévoyant des actions communes pour accompagner les départements dans leur préparation au RGPD. Un partenariat Cnil-AMF similaire devrait suivre.
De même, la Cnil s’appuiera à compter du 25 mai, en ce qui concerne le secteur public, sur les délégués à la protection des données (DPD). Ces derniers – obligatoires pour les collectivités à compter du 25 mai – seront « les chefs d’orchestre de la conformité en interne ».
Autre outil d’aide aux acteurs : les packs de conformité. Elaborés en collaboration avec les acteurs d’un secteur, ils permettent de décliner de façon opérationnelle les différentes obligations. En 2017, deux packs ont été publiés : un sur les voitures autonomes et un sur la Silver économie. La dirigeante de la Commission a proposé qu’un tel pack de conformité soit dédié aux collectivités territoriales. Elle a profité de la conférence de presse pour glisser « que cela n’avait toutefois pas été demandé ».
Un contrôle pragmatique
Malgré tous ces outils, de nombreux acteurs, dont de très nombreuses collectivités, ne seront pas prêts le jour J. La Cnil en est consciente. La présidente a rappelé que le 25 mai prochain ne serait pas une date couperet. « Il n’y aura pas de période de grâce non plus, » a-t-elle tenu à préciser. « Mais en cas de manquement, nous tiendrons compte des efforts fournis par l’acteur et de sa bonne foi. »
Mais attention, elle a ajouté que malgré l’entrée en vigueur du RGPD, « les principes fondamentaux de la protection des données restent inchangés. Ces principes sont les mêmes depuis 40 ans. Ils continueront donc de faire l’objet de vérifications rigoureuses de la Cnil. » Les nombreux acteurs qui ne respectaient jusqu’ici pas la loi devront rattraper leur retard.
Cet article est en relation avec le dossier
Domaines juridiques