La Commission Nationale de l’Informatique et des Libertés (CNIL) a enfin publié le 16 novembre son rapport d’activité 2010. Elle y présente les temps forts de son activité sur l’année 2010, ainsi que les dates et les chiffres clés.
I. La CNIL a exercé son activité de contrôle et de sanction
1.1 Les actions
Elle a instruit un nombre croissant de plaintes : les questions liées au «droit à l’oubli sur internet » et à la vidéosurveillance sont en augmentation, et le nombre de plaintes concernant les secteurs de la banque, du crédit, du travail (notamment sur la surveillance des salariés) et du commerce (fichier clients et envoi de publicité) est toujours aussi important que les années précédentes. 19% des contrôles ont été effectués dans le cadre d’instruction de plaintes.
La CNIL a reçu 1877 demandes de droit d’accès indirect aux fichiers intéressant la sûreté de l’État, la défense ou la sécurité publique, le plus souvent à la suite de décisions défavorables en matière d’accès à des emplois publics ou privés relevant du domaine de la sécurité ou de la défense.
Elle a contrôlé des entreprises et des organismes publics, la sphère publique représentant 20% des contrôles. 11% des contrôles ont été effectués suite à des décisions de la formation restreinte. La liste des organismes contrôlés est publiée en annexe du rapport.
Elle a mis en place une coopération avec la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF) et au niveau international avec le Global Privacy Enforcement Network (GPEN).
Elle a pris des mesures de sanctions décrites en annexe, la plus élevée a cependant été prise en 2011 à l’encontre de Google (lire notre article Google Street View et Google Latittude : sanction de 100 000 euros prononcée par la CNIL) sur la base de contrôles amorcés en 2009 et 2010. La CNIL a prononcé 5 sanctions pécuniaires, pour un montant total de 32 500€. Elle a adressé un avertissement à la société de cours à domicile Acadomia.
En outre, la CNIL a pour la première fois ordonné l’interruption de traitement comme mesure d’urgence.
1.2 Quelques chiffres clés
• 4821 plaintes ;
• 308 contrôles ;
• 111 mises en demeure ;
• 3 avertissements ;
• 5 sanctions pécuniaires ;
• 2 mesures d’urgence ;
• premières interruptions de traitement (contrôle d’accès biométrique illicite et systèmes de vidéosurveillance permanent de salariés) ;
• 1 dossier transmis au parquet.
1.3 Quelques temps forts
• Un système de plainte en ligne a été introduit en juin 2010.
• La loi n°2011-334 du 29 mars 2011 relative au défenseur des droits a modifié la loi Informatique et Libertés du 6 janvier 1978 (lire à ce sujet Pouvoirs de la CNIL et procès équitable).
Il en résulte notamment la séparation des phases d’enquête et d’instruction de la phase de jugement. De ce fait, les Président et Vice-présidents de la CNIL ne peuvent plus faire partie de la formation contentieuse restreinte.
• La loi d’orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI) a étendu le pouvoir de la CNIL en matière de contrôle de la vidéoprotection (lire à ce sujet http://larevue.ssd.com/Videoprotection-et-vie-privee-apports-de-la-loi-LOPPSI-2_a1466.html).
La CNIL peut désormais contrôler, mettre en demeure et proposer au préfet de prendre des mesures de suspension ou de suppression du système contrôlé. La CNIL a ainsi effectué plus de 55 contrôles en 2010.
II. La CNIL a œuvré pour une meilleure information
Elle a grandement amélioré son site internet www.cnil.fr.
Elle a également mis l’accent sur l’information et la sensibilisation de la jeunesse, des parents et des éducateurs.
III. La CNIL a réglementé et simplifié certaines formalités
La CNIL a mis en place un système pour effectuer en ligne un très grand nombre de déclarations et de demandes d’autorisation, ce qui lui a permis de réduire le temps qu’elle passe au traitement des dossiers.
Elle a également introduit un système d’exonération de déclaration, de déclaration simplifiée et d’autorisation unique. En 2010, la CNIL a ainsi adopté :
• 4 autorisations uniques, dont notamment l’autorisation unique relative aux éthylotests anti-démarrage ;
• 2 normes simplifiées : norme pour les notaires, norme concernant la durée de conservation et le versement aux archives publiques des données issues de la matrice cadastrale ;
• 1 dispense pour les associations et organismes à but non lucratifs ;
• 2 avis sur acte réglementaire unique : le téléservice « guichet-entreprise.fr » et le téléservice « demandes d’acte civil » ;
• 3 recommandations : la sécurité des systèmes de vote électronique, la réutilisation des données à caractère personnel contenues dans des documents d’archives publiques, et la mise en œuvre par les compagnies d’assurance et les constructeurs automobiles de dispositifs de géolocalisation embarqués dans les véhicules.
IV. La CNIL est intervenue dans un certains nombre de processus législatifs
La CNIL intervient dans le processus législatif en donnant des avis (par exemple sur les jeux d’argent et de hasard en ligne) ou comme force de proposition. La CNIL a notamment proposé qu’un décret en Conseil d’Etat soit pris afin de mettre en place une politique d’accès au NIR (numéro de sécurité sociale) pour faciliter la recherche médicale et les études de santé publique.
V. La CNIL souhaite « anticiper » les nouveaux défis technologiques
Elle s’est ainsi dotée d’une direction dédiée à la prospective et à l’innovation faisant intervenir des experts informatiques, des juristes, des sociologues, des politiques et des économistes. L’objectif est de placer la CNIL à la pointe des innovations technologiques, afin de lui permettre d’évaluer les risques liés à ces innovations, et d’évaluer les mesures de sécurité qui peuvent être prises en conséquence. Les deux principaux chantiers de cette direction concernent « l’écosystème des Smartphones et les transformations des usages », et la redéfinition de la notion de vie privée à l’horizon de 2020.
VI. Rappel d’un temps fort au niveau européen : la révision de la directive européenne sur la vie privée (Directive 95/46/EC)
La CNIL relève les différentes évolutions envisagées par la Commission européenne. A cette occasion, elle se prononce en faveur de l’introduction dans la directive d’un «droit à l’oubli», qui impliquerait notamment de «limiter strictement la durée de conservation des données à la réalisation des finalités initialement envisagées».