RGPD : beaucoup de plaintes en matière de prospection commerciale, très peu de sanctions

Dans la masse de plaintes enregistrées en 2020, la prospection commerciale attire l’attention de la Cnil. L’autorité a enregistré environ 1500 plaintes concernant la prospection, soit 11% des 14 000 plaintes déposées. Les personnes déposent plainte en déclarant que leur consentement n’a pas été recueilli ou parce qu’elles ne parviennent pas à faire cesser la réception des publicités malgré leur opposition.

Les publicités par email ou SMS génèrent le plus de plaintes

La Cnil considère que le nombre de plaintes relatives à la prospection est particulièrement important. Cela comprend les prospections commerciale, associative ou politique. La prospection politique pour les élections ne représente toutefois qu’une centaine de plaintes. Les publicités par courrier électronique et par SMS génèrent le plus de plaintes. Les personnes qui saisissent la Cnil d’une plainte pour les motifs de prospection sont nombreuses, pointe la Cnil.

Toutefois, les sanctions financières sont très peu fréquentes. On relève deux cas de sanction en 2020. Il s’agit de Performeclic, une société en tête du classement des sociétés émettant le plus de messages signalés comme « spam » par les internautes en France. Dans ce cadre, la Cnil travaille avec Signal Spam pour identifier les expéditeurs de spam et agir auprès d’eux. De même, la startup Nestor, de livraison de repas, a été sanctionnée pour l’envoi de mailings publicitaires non sollicités.  

C’est ce que présente le rapport d’activité 2020 de la Cnil publié le 18 mai. Les secteurs d’activité qui suscitent le plus de plaintes sont par ordre décroissant internet & les télécoms (35%), le travail (19%), le commercial (18%), la banque (8%), la santé/social (7%), les libertés publiques (4%) et la Police/Justice (1%). Par exemple, la vidéo surveillance sur le lieu de travail suscite 750 plaintes, soit moitié moins que la prospection. Quant à l’inscription abusive au fichier des incidents de la Banque de France, elle génère près de 400 plaintes.  

Pas d’intrusion commerciale dans la sphère privée

Quatre situations conduisent les personnes à se mobiliser pour leurs droits auprès de la Cnil. C’est  quand leur réputation est menacée par des informations disponibles en ligne ; lorsqu’elles considèrent être victimes d’intrusion dans leur sphère privée par de la prospection commerciale ; en cas de surveillance sur leur lieu de travail ; et lors de l’inscription dans des fichiers nationaux (accidents bancaires, antécédents judiciaires, etc.).

A noter que la collecte de données sur les salariés par l’employeur est un sujet important puisque la fiche explicative correspondante a été téléchargée 167 000 fois sur le site de la Cnil. Mais ce sont les cookies qui suscitent le plus d’intérêt. Au total, les fiches sur le thème des cookies atteignent 1,4 million de visites uniques en 2020. Enfin, il y a eu 120 000 lectures uniques de la fiche sur « Les droits pour maîtriser vos données personnelles ! ».

Au bout du compte, la Cnil a mobilisé ses équipes sur 247 contrôles formels en 2020. Ces contrôles sont issus de 6500 actes d’investigation. Il y a eu 25 contrôles en lien avec la pandémie de Covid. Il y a eu 19 contrôles sur le thème des cookies, dans le cadre de dix procédures impliquant neuf organismes différents visés par des plaintes. Ces contrôles concernaient l’information des personnes, le recueil du consentement et la prise en compte de l’opposition ou du retrait du consentement.

Les plaintes principales source des contrôles

La Cnil souligne que les plaintes sont toujours sa principale source de contrôle. Les contrôles font suite à des plaintes ou à des signalements dans 40% des cas. En 2020, Carrefour France et Carrefour Banque ont été sanctionnés après de nombreuses plaintes ayant donné lieu à une procédure de contrôle. Sinon, les contrôles ont été effectués à l’initiative de la Cnil à partir d’informations parues dans la presse ou de l’actualité pour 32% des cas. C’est ainsi que les notifications de violations de données, par exemple lors d’attaques informatiques,  ont été à la source de 56 procédures de contrôle. Pour 15% des cas, les contrôles étaient programmés dans les priorités annuelles de la Cnil. Enfin, 3% des contrôles font suite à des mises en demeure ou à des sanctions.

Face au développement de nouveaux services utilisant en particulier des données de géo-localisation, en 2020, des contrôles ont été menés auprès de dix organismes proposant des services de proximité (services de conciergerie, mise en relation entre particuliers pour de l’aide à domicile et travaux, etc.) ainsi que des services de mobilité (location de véhicules partagés, de vélos en location longue durée, de trottinettes en libre-service, etc.). Ces contrôles ont vérifié la pertinence des données collectées, en particulier s’agissant des données de géo-localisation, de l’information des personnes ainsi que de la sécurité des données traitées.

Les contrôles ont été réalisés sur internet pour 82 d’entre eux, 74 sur pièces, 72 dans les locaux de l’entreprise et 19 sur audition. A partir de là, la Cnil a prononcé 49 mises en demeure de se mettre en conformité, dont 3 publiques et 4 en coopération avec d’autres autorités de protection des données européennes. Elle a également prononcé 38 rappels à l’ordre et 2 avertissements, notamment suite à des plaintes. Au bout du bout, la Cnil a prononcé 14 sanctions, dont 11 amendes pour un montant total de 138 millions d’euros. Ce chiffre est trompeur, car la quasi-totalité des montants concerne en fait Google pour 100 millions d’euros et Amazon pour 35 millions d’euros, en décembre 2020, en raison de manquements aux règles relatives aux cookies.

Près de 3000 violations de données en 2020, un record

Les sanctions de la Cnil font également suite à une sécurité insuffisante des données et pas seulement à l’absence d’information des personnes ou de leur consentement, en particulier sur l’utilisation des cookies. Il faut souligner le nouvel enjeu de 2020, les violations de données qui ont connu une augmentation significative. La Cnil a reçu 2825 notifications de violations de données personnelles. C’est 24% de plus qu’en 2019. Et pour plus de 500 notifications, la cause de ces violations est des attaques par rançongiciel, dont la Cnil a pu constater l’augmentation.

En ce qui concerne les plaintes,  la Cnil a précisément reçu 13 585 plaintes en 2020. Ce chiffre est constant par rapport à 2019. La Cnil y voit la confirmation d’une prise de conscience conséquente des Français vis-à-vis de leurs droits. Selon un sondage Ifop de décembre 2020, 68% des Français déclarent connaître la Cnil et 87 % des Français se déclarent sensibles à l’enjeu de protection des données.

Parmi les plaintes, 4 528 ont été suivies d’une réponse rapide et 9 057 ont nécessité une étude plus approfondie. Dans ce cas, la Cnil intervient auprès du responsable du fichier mis en cause. La Cnil intervient toujours par écrit pour lui rappeler ses obligations et l’inviter à prendre les mesures nécessaires ; pour l’interroger sur les conditions de mise en œuvre de son traitement de données personnelles, par exemple, sur les conditions de collecte des données, leur durée de conservation, etc. ou pour demander des précisions sur la réponse apportée au plaignant ; enfin pour obtenir tout justificatif utile.

La personne doit d’abord s’adresser à l’organisme concerné

La Cnil rappelle que pour exercer ses droits, obtenir accès à ses données ou la suppression de contenu en ligne, le plaignant doit d’abord s’adresser directement à l’organisme concerné, ou à son délégué à la protection des données (DPO) si l’organisme en a un. Ce n’est qu’en cas de refus ou d’absence de réponse dans un délai de 1 mois que la Cnil peut intervenir. La très grande majorité des plaintes reçues par la Cnil concerne un individu qui rencontre une difficulté lors de l’exercice de ses droits ou du traitement des données le concernant.

Près d’un tiers des plaintes portent sur la publication de données personnelles, d’une identité, de photographies ou de vidéos, sur internet, c’est-à-dire dans les moteurs de recherche, sur les réseaux sociaux, sur des sites personnels, dans la presse en ligne ou dans des annuaires. La Cnil a reçu près de 150 plaintes relatives à des demandes d’effacement de contenus concernant des articles de presse publiés en ligne, qu’il s’agisse d’une demande du retrait de l’article, de l’anonymisation ou de la désindexation. En 2020, la Cnil a également reçu 382 plaintes relatives au déréférencement.

La Cnil a obtenu la résolution des situations dans 93% des cas transmis aux moteurs de recherche. Par ailleurs, la surveillance des employés sur leur lieu ou pendant leur temps de travail, par des outils tels que la vidéosurveillance, la géo-localisation, les écoutes téléphoniques, etc. génère toujours de nombreuses plaintes dans les secteurs privé et public. Cela représente 10 % des plaintes reçues en 2020. La vidéosurveillance avec 750 plaintes en 2020 concentre toujours le plus de plaintes dans le secteur Travail, notamment lorsque les caméras filment les postes de travail en permanence ou les lieux de pause, enregistrent le son ou lorsque les images sont visibles à distance.

72 000 entreprises disposent d’un délégué à la protection des données

Comme les années précédentes, la Cnil a encore reçu beaucoup de plaintes (près de 400) concernant l’inscription de personnes dans les fichiers d’incidents de la Banque de France, notamment le fichier d’incidents de remboursement des crédits aux particuliers (FICP), le fichier central des chèques (FCC). Enfin, la Cnil relève que 72 000 entreprises et organismes ont désormais désigné un DPO (Data Protection Officer), un délégué à la protection des données, en France. Cela représente 25 500 DPO, car des DPO peuvent être mutualisés.

Au bout du compte, la Cnil apparaît comme une autorité de régulation frugale avec son petit budget de 20 millions d’euros comparativement à la criticité de ses missions et au nombre d’actions à mener. Elle emploie 225 personnes dont la moyenne d’âge est de 39 ans. La Cnil devra cependant faire un effort en termes de diversité puisque les femmes représentent les deux tiers de ses équipes.