La Commission Nationale de l’Informatique et des Libertés a publié le 18 Mai 2021 son rapport d’activité annuel de l’année 2020. En sus d’apporter des éléments instructifs concernant certaines statistiques, sa lecture permet de confirmer un certain mouvement doctrinal de la Commission tout en mettant en exergue certaines particularités liées aux actualités de l’année 2020.
Le RGPD désormais bien implémenté sur le territoire
Une transparence accrue des acteurs de la conformité
Si 2018 a été une année charnière dans l’actualisation des réglementations sur la protection des données, avec notamment l’entrée en vigueur du RGPD à la date du 25 mai, force est de constater que le buzz engendré autour de cette réglementation lui a permis de s’immiscer dans chaque secteur d’activités professionnel. En 2020, la CNIL recense 25 494 délégués à la protection des données pour le compte de 73 331 organismes, soit une augmentation de 21% par rapport à l’année 2019.
🏹 Voir notre article La nomination d’un Data Protection Officer (DPO) est-elle obligatoire ?
Cette statistique n’est pas étonnante dans la mesure où cette désignation permet le respect d’une obligation réglementaire (article 37 du RGPD) pour de nombreuses entités et s’inscrit par ailleurs dans une démarche de conformité, dans la continuité de l’ancienne profession de “Correspondant Informatique et Libertés”.
En moyenne, 1 DPO désigné exerce ses activités pour le compte de 3 entités morales distinctes. Derrière ce chiffre se cachent des DPO internes pouvant opérer des missions pour le compte de plusieurs entités morales d’un même groupe, mais également une tendance visant à la désignation de DPO externalisés, exerçant leurs activités pour le compte de plusieurs entités morales distinctes.
En outre, l’application effective du RGPD avait entraîné un accroissement significatif du nombre de plaintes adressées à la CNIL. En 2020, 13 585 plaintes ont été adressées à la CNIL, ce qui constitue un chiffre stable par rapport aux années antérieures. Rappelons que l’application de l’article 13 du RGPD entraîne l’obligation d’informer toute personne concernée par une collecte directe de données de la possibilité d’instruire une plainte auprès de la CNIL si ses droits ne sont pas respectés : l’accroissement de ce degré de transparence a pu avoir pour effet direct la recrudescence du nombre de plaintes.
Les différentes statistiques mises à disposition par la CNIL dans son rapport d’activités 2020 confirment une stabilité, voire une légère augmentation des données entourant le contrôle national du respect de la conformité au RGPD par les responsables de traitements. Ces données confirment notamment la réussite européenne de placer les délégués à la protection des données au centre des considérations afférentes au respect de la protection des données personnelles, et ce quelque soit le secteur d’activités concerné.
La continuité des stratégies de contrôle
Sur l’année 2020, la CNIL a opéré au total 247 contrôles, dont 82 en ligne et 74 sur pièces. Cette précision est intéressante, puisque plus de la moitié des contrôles effectués par la Commission sur cette année l’ont été sur des modalités distancielles. Les conditions sanitaires n’expliquent pas à elles seules cette proportion élevée de contrôles à distance, cette tendance étant en développement depuis maintenant plusieurs années.
Un contrôle en ligne suppose la vérification de non-conformités “visibles”. Ces constats sont généralement effectués sur des sites internet, plateformes SaaS ou toutes interfaces accessibles en ligne. La proportion non négligeable de la tenue de cette catégorie de contrôle qu’effectue la CNIL depuis 2015 confirme l’importance d’une mise en conformité des traitements de données personnelles les plus “visibles”. Elle rappelle toute l’importance du bon respect des dispositions relatives à l’information des personnes et à la gestion de l’exercice de leurs droits. En outre, la tenue de contrôles sur pièces peut s’inscrire dans un cadre plus large, à savoir concomitamment à une autre typologie de contrôle si la Commission souhaite approfondir ou demander des informations détaillées à un responsable de traitements.
Le volume des contrôles effectués par la Commission sur l’année 2020 est stable comparé aux années précédentes. A ce sujet, il est à noter que la CNIL n’a pas (pour le moment) accru de façon significative l’ampleur de ses contrôles. Bien que le nombre de sanctions prononcées par la CNIL sur cette année 2020 reste faible (14), le montant des sanctions atteint lui des records : 138 489 300 euros d’amendes ayant été prononcées. Ces sommes, sous réserves qu’elles ne soient pas remises en cause par le Conseil d’Etat, seront versées par les entités sanctionnées au Trésor Public. Cet accroissement se justifie principalement par le prononcé de sanctions “records”, aux amendes élevées, prononcées principalement à l’encontre de GAFAM.
🍪 Voir notre article Cookies : la CNIL sanctionne GOOGLE par une amende de 100 millions d’euros
Le rapport Volume de contrôles associé au Nombre de sanctions prononcées est, là encore, assez standard dans l’expression de la stratégie répressive de la CNIL : cette dernière continue d’exercer dans un premier temps des mises en demeure, assorties potentiellement d’un caractère public, pour que le responsable de traitements dispose d’un délai lui permettant d’apporter les actions correctrices nécessaires.
Le volume des contrôles effectués par la CNIL en 2020 conserve une certaine stabilité, contrairement au montant des sanctions qui atteint un record depuis la création de l’autorité en 1978. La stratégie de contrôle de la CNIL conserve cependant une logique privilégiant un accompagnement des secteurs professionnels en amont plutôt qu’une stratégie répressive.
Les thématiques marquantes de l’année 2020
Le contexte de pandémie mondiale et le RGPD
Eu égard au contexte sanitaire actuel, la Commission a été amenée à traiter une centaine de demandes d’autorisation “Recherche Santé”, impliquant ou non la personne humaine, liées à la pandémie du COVID-19. L’année 2020 a été ainsi marquée par l’édition de nombreux référentiels par la CNIL dans le domaine de la recherche en santé, et notamment les différentes “méthodologies de référence” permettant à un responsable de traitements de bénéficier de formalités simplifiées (à l’instar des anciennes normes simplifiées éditées par la CNIL antérieurement à l’application du RGPD). Ainsi, 89 autorisations recherche ont été émises en 2020 concernant directement l’épidémie de COVID-19.
La CNIL a également émis des publications et conseillé les acteurs sanitaires agissant durant la pandémie actuelle concernant la constitution d’entrepôts de données. La Commission insiste sur l’accompagnement qu’elle a effectué auprès d’acteurs, privés comme publics, pendant cette année 2020 où les délais de traitements ont été exceptionnellement réduits pour pouvoir répondre de façon optimale aux attentes. Pour rappel, le traitement d’une demande d’autorisation recherche en santé est de 2 mois, potentiellement reconductible une fois en application du RGPD.
Les cookies 🍪 et la fin du délai de grâce
La gestion des cookies reposait historiquement en France sur un “consentement implicite” de l’internaute : sa poursuite de navigation internet pouvant caractériser sa volonté d’accepter les traceurs d’un site internet. Les critères de recueil licite du consentement ayant été renforcés suite à l’entrée en application du RGPD, la CNIL a, après plusieurs années de tergiversation, fini par adapter des lignes directrices relatives aux « cookies et autres traceurs » en vertu de sa délibération n° 2020-091 du 17 septembre 2020. Un délai de grâce allant jusqu’à fin mars 2021 a été laissé aux acteurs privés et publiques afin qu’ils puissent adapter leurs pratiques.
Depuis lors, le consentement d’un internaute n’est désormais valablement recueilli que s’il découle d’une action positive effectuée directement par ce dernier (par exemple un clic de souris). La seule présence de cette action positive peut emporter des conséquences lourdes sur certains business models bien implantés à l’heure actuelle (publicité ciblée, suivi des tunnels de conversion, etc.). L’année 2020 a été le terreau pour préparer et anticiper la nouvelle doctrine de l’autorité française en matière de cookies et autres traceurs, à savoir un renforcement effectif des critères de recueil de consentement. En outre, l’année 2020 constituait la “dernière année” du délai de grâce laissé par la CNIL : cette dernière contrôle désormais la conformité de l’ensemble des dispositifs entourant la gestion des cookies. A cet effet, la récente mise en demeure d’une vingtaine d’organismes en est un parfait exemple.
L’invalidation du privacy shield
L’année 2020 a également été marquée par l’invalidation du mécanisme de Privacy Shield qui permettait de simplifier les transferts de données personnelles entre l’Union Européenne et les Etats-Unis. Cette invalidation a été prononcée par un arrêt de la Cour de Justice de l’Union Européenne, dans l’affaire dite “Schrems II“, qui ne reconnaît désormais plus les Etats-Unis comme étant un pays disposant d’un niveau de protection adéquat en matière de traitements de données à caractère personnel.
Cette invalidation cumulée à la précédente invalidation du “Safe Harbor” constitue une véritable “saga” dans le domaine des transferts entre l’Union Européenne et les Etats-Unis. Elle instaure une incertitude quant à la validité dans le temps des mécanismes juridiques pouvant permettre le transfert de données vers les Etats-Unis. Si l’année 2020 n’a pas permis d’établir un nouveau référentiel permettant de retrouver une simplification et une sérénité des formalités dans les transferts entre les deux continents, la CNIL a communiqué dans le courant de l’année 2020 pour rappeler que les mécanismes de signatures de Clauses Contractuelles Type (CCT) de l’Union Européenne, ainsi que les Binding Corporate Rules, permettant à des responsables de traitements de justifier de la validité de ces flux. Cependant, l’invalidation de ce Privacy Shield impose désormais une documentation accrue de la conformité entourant ces flux, et notamment si des catégories particulières de données visées par l’article 9 du RGPD sont concernées.
Conclusion et prospectives
De façon générale, le bilan annuel d’activité de la CNIL pour l’année 2020 confirme le rôle de la Commission et sa position doctrinale : l’accompagnement prioritaire des responsables de traitements, pouvant aller jusqu’à une dimension répressive en cas de non-respect avéré des dispositions du RGPD. Malgré le contexte pandémique de l’année 2020, ce bilan d’activités s’inscrit dans la droite ligne du mode de fonctionnement de la CNIL des années précédentes, notamment en ce qui concerne le volume des contrôles ainsi que le nombre de sanctions prononcées par rapport au nombre de contrôles effectués par les agents.
Notons par ailleurs la volonté de l’autorité française de poursuivre la publication de “Référentiels”, visant à fournir de précieuses recommandations aux responsables de traitement, pour la mise en œuvre de traitements courants (traitements de gestion des alertes professionnelles, durées de conservation des données dans le domaine de la santé (hors recherche), traitements relatives aux traitements de données à caractère personnel mis en œuvre à des fins de gestion du personnel, etc.). C’est également un moyen pour l’autorité française de préparer sa position en prévision de la rédaction et de la publication de lignes directrices, établies au niveau européen, par le biais de l’EDPB.
🚗 Voir notre article Cookies : la CNIL adopte un référentiel encadrant les désignations d’infractions au Code de la route
2021 sera certainement une année durant laquelle la CNIL poursuivra sa stratégie 2020. Nous n’anticipons pas une rupture de doctrine de l’autorité. La fin du délai de grâce en matière de conformité pour les mécanismes de cookies et autres traceurs pourrait engendrer de nouvelles sanctions records de la part de l’autorité française. D’autant que les grands acteurs du numérique ne semblent pas enclin à scrupuleusement respecter les lignes directrices de la CNIL sur cette thématique.
