Hausse sensible des plaintes reçues par la Cnil en 2019

Le nombre de plaintes reçues par la Cnil a sensiblement augmenté en 2019. La Cnil a reçu 14 137 plaintes en 2019, soit une hausse de 27% par rapport à 2018.

Un tiers des plaintes font l’objet d’un traitement rapide

En cas de plainte, la Cnil informe fréquemment le responsable du fichier des faits soulevés par le plaignant afin qu’en cas de manquement, il se mette en conformité. Dans le détail, 5 620 plaintes ont fait l’objet d’un traitement rapide de premier niveau. Les personnes reçoivent ainsi des réponses sur leurs droits et leurs modalités d’exercice, les obligations des responsables de fichiers et les autres administrations susceptibles de leur venir en aide au regard de leur demande. Et 8 517 plaintes ont nécessité un traitement plus approfondi. La Cnil procède à plus de contrôles ayant pour origine des plaintes. Ce sont 42 % des contrôles qu’elle a réalisés en 2019.

Près d’un tiers des plaintes porte sur la publication de données personnelles (identité, photographies, vidéos, etc.) sur internet (moteurs de recherche, réseaux sociaux, sites personnels, presse en ligne, annuaires, etc.). Autre axe de plainte, le démarchage avec 14,7 % des plaintes qui concernent la prospection commerciale, associative, politique, qu’elle soit reçue par voie postale, téléphonique ou e-mail. Les personnes déplorent que leur consentement n’ait pas été recueilli ou de ne pas parvenir à faire cesser la réception de publicités.

Les publicités par courrier électronique et par SMS génèrent le plus de plaintes. En 2019, plusieurs grands groupes d’annonceurs se sont aperçus que leur prestataire en charge du « stop SMS » n’effectuait pas correctement sa mission, les conduisant ainsi à rompre leur contrat et à faire appel à un nouveau sous-traitant.

La vidéo-surveillance irrite les employés

La surveillance des employés sur leur lieu de travail ou pendant leur temps de travail, génère toujours de nombreuses plaintes. Ce sont 10,7 % des plaintes reçues en 2019. Elles visent des acteurs du secteur privé comme du secteur public. Cela passe par des outils tels que la vidéosurveillance, la géo-localisation, les écoutes téléphoniques, etc.

L’exercice de ses droits auprès de son employeur, dans les secteurs privé et public, génère un nombre élevé de plaintes (près de 400), dans un contexte généralement tendu entre l’employé et l’employeur. La Cnil est également saisie pour des difficultés d’accès à des dossiers personnels (dossier médical, dossier CAF, Pôle emploi, etc.). Le nombre de plaintes reçues en 2019 a augmenté de 42 % sur l’accès au dossier médical. Enfin, en 2019, la Cnil a encore reçu plus de 400 plaintes concernant l’inscription de personnes dans les fichiers d’incidents de la Banque de France, notamment le fichier d’incidents de remboursement des crédits aux particuliers (FICP) et le fichier central des chèques (FCC).

Les défauts de sécurisation des données sont désormais un motif récurrent de plainte auprès de la Cnil. Cela aboutit à des données accessibles sur internet ou communiquées à des tiers, des mots de passe transmis en clair ou insuffisamment complexes, etc. Les citoyens sont désormais nombreux à être attentifs aux violations de données et se font régulièrement le relais, en plus des médias, de défauts de sécurité des données. Ces questions sont de plus en plus importantes (+ 100 %) dans le secteur médico-social.

Demandes d’accès indirect à certains fichiers

Par ailleurs, des particuliers s’adressent à la Cnil afin d’accéder à des gestionnaires de fichiers, ce que la Cnil appelle l’accès indirect. En 2019, plus de 4 200 personnes se sont adressées à la Cnil afin qu’elle intervienne auprès de gestionnaires de fichier pour faire valoir leurs droits. C’est relativement stable par rapport à 2018. En 2019, la grande majorité des demandes valablement adressées à la Cnil concernait le fichier des comptes bancaires FICOBA (75 %). Le nombre de demandes relatives à ce traitement a fortement progressé (+ 40 % entre 2018 et 2019 après une croissance de + 35 % entre 2017 et 2018). Ces demandes sont souvent motivées par la crainte d’une usurpation d’identité. L’accès au FICOBA peut également permettre à certaines personnes de retrouver des comptes ouverts par leurs proches.

La Cnil cite un sondage Ifop afin de montrer que la prise de conscience des particuliers augmente. Réalisé en octobre 2019, il montre que 45 % des personnes interrogées ont déjà constaté des abus dans l’utilisation faite de leurs données personnelles et, parmi eux, 20 % ont pris des mesures en réponse à ces abus, c’est une augmentation de 4 % par rapport à 2018.

Autre souci, la Cnil a reçu 2 287 notifications de violations de données personnelles constatées par des entreprises en 2019. Il s’agit d’un accès illégitime à des données gérées par ces entreprises. Cela concerne surtout la perte de la confidentialité des données. La moitié des violations sont dues à un acte externe malveillant et 23 % sont dues à un acte interne accidentel.
Au total, la Cnil a procédé à 7 000 actes d’investigation en 2019. Ces actes d’investigation sont effectués par différents services de la Cnil, en particulier le service des plaintes, le service des contrôles, le service des sanctions et le service du droit d’accès indirect. La Cnil a, en particulier, ouvert 300 procédures formelles de contrôle et a traité 80 signalements relatifs à des violations de données.

Google sanctionné pour 50 millions d’euros

Côté contrôles, leur nombre est stable par rapport à 2018. Leurs suites peuvent aller de la clôture à la mise en demeure ou à la sanction financière. Dans certains cas, la publicité de la décision peut être décidée en fonction de la gravité des manquements. En 2019, la Cnil a ainsi procédé à 300 contrôles dont 169 contrôles dans les murs de l’entreprise ; 53 contrôles en ligne ; 45 contrôles sur pièce et 18 auditions.

La Cnil a prononcé 8 sanctions, dont 7 amendes d’un montant total de 51,4 millions d’euros dont 50 millions concernent le seul Google. Ces sanctions concernaient principalement des atteintes à la sécurité des données personnelles, des manquements à l’obligation d’information des personnes, des manquements liés aux durées de conservations des données et dans un cas, le non-respect du droit d’accès prévu par le RGPD.

La Cnil a procédé à 5 injonctions sous astreinte et 42 mises en demeure ont été prononcées en 2019, dont 2 publiques, ainsi que 2 rappels à l’ordre et 2 avertissements. Les mises en demeure rendues publiques l’ont été en raison des manquements importants constatés. La moitié des mises en demeure a porté sur le droit au déréférencement, le droit d’opposition ou le droit d’accès.