Le 10 avril 2018, la CNIL a publié son rapport annuel présentant le  bilan de ses activités au cours de l’année 2017 et les objectifs de 2018.

A la lecture de ce rapport, nous notons :

  • une augmentation importante des plaintes déposées à la CNIL par les particuliers. La CNIL annonce avoir reçu 8.360 plaintes (un record). Parmi ces plaintes :

               – 27% d’entre elles concernent « la diffusion de données personnelles sur internet »,

              – 25% des plaintes concernent le secteur marketing/commerce (ex : prospection non sollicitée)

              – 16% de ces plaintes concernent les traitement mis en œuvre dans le cadre de la gestion des ressources humaines. Ces plaintes provenant principalement de salariés alertant la CNIL notamment sur l’utilisation excessive de la vidéosurveillance ou de la géolocalisation ou encore sur la communication du dossier professionnel.

 

  • les contrôles de la CNIL ont principalement portés sur la sécurité et le respect des droits des personnes. La CNIL annonce avoir réalisé 341 contrôles (dont 256 contrôles sur place, 65 en ligne, 20 contrôles sur pièces et convocation), soit 90 de moins qu’en 2016.

Les actions de la CNIL ont principalement concerné :

              – la sécurité des données : La CNIL indique recevoir chaque semaine un à deux signalements concernant des failles de sécurité.

              – la défense du droit des personnes concernées : « Un nombre conséquent de contrôles a été mené concernant directement le respect des droits des personnes (environ 15% des vérifications). Il s’est agi notamment de vérifier la prise en compte des droits de rectification ou d’opposition de plaignants. »

 

  • les sanctions de la CNIL ont principalement concernées les manquements à la sécurité des données.

              – 79 mises en demeure ont été adoptées en 2017, 59 mises en demeure relevaient des manquements à la sécurité.

              – 14 sanctions ont été prononcées par la formation restreinte, 4 sanctions ont porté sur la non coopération avec la CNIL et 8 sanctions concernaient des manquements à la sécurité. »

 

  • les objectifs pour les futurs contrôles en 2018. La CNIL affirme vouloir adopter une approche pragmatique prenant en compte les difficultés de la mise en conformité au RGPD.

L’autorité de contrôle prévient qu’elle distinguera, lors de ses contrôles, deux types d’obligations : 

              – Les principes fondamentaux de la protection des données, qui restent pour l’essentiel inchangés : loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, conditions de licéité des traitements etc. Ces principes « continueront (…) à faire l’objet de vérifications rigoureuses par la CNIL ».

              – Les nouvelles obligations ou les nouveaux droits résultant du RGPD : droit à la portabilité, droit à la limitation, analyses d’impact, privacy by design/by default, etc. Pour ces nouvelles responsabilités, la CNIL assure que les contrôles auront « essentiellement pour but, dans un premier temps, d’accompagner les organismes dans une courbe d’apprentissage vers une bonne compréhension et la mise en œuvre opérationnelle des textes ».

Le programme des contrôles de la CNIL pour l’année 2018 a été examiné en séance plénière le 12 avril et devrait être communiqué prochainement.

 

Par Claudia WEBER – ITLAW Avocats

Nous contacter