Le rapport d’activité 2016 de la Cnil vient d’être publié, dressant le bilan de ses actions et présentant sa doctrine de 2016. Cette année fut marquée à la fois par des évolutions réglementaires majeures mais également par des condamnations importantes (1).
Rapport d’activité 2016 de la Cnil : Des condamnations importantes
Des condamnations fortes, tout d’abord, un moteur de recherche (Délib. 2016-054 du 10-3-2016) (2) a été condamné à une amende de 100 000 euros. Cette amende est la deuxième amende (Délib. n°2013-420 du 3-1-2014) (3) la plus importante jamais prononcée par la Cnil.
De même, elle a mis en demeure deux géants du web (Délib. 2016-007 du 26-1-2016 (4) et Décision 2016-058 du 30-6-2016 (5)) pour des manquements à la loi Informatique et libertés.
Dans un autre registre, le parti socialiste (Délib. 2016-315 du 13-10-2016) (6) a fait l’objet d’un avertissement public en raison de failles de sécurité de données sensibles en ligne.
Cela démontre une volonté de la part de la Cnil de renforcer ses sanctions envers les entreprises.
Rapport d’activité 2016 de la Cnil : L’adoption de textes majeurs
La loi pour une République numérique (7) a été adoptée le 8 octobre 2016. Elle constitue un premier pas vers l’implémentation du Règlement européen. Elle renforce les pouvoirs de la Cnil et crée de nouveaux droits pour les personnes concernées.
De plus, la Commission européenne a adopté le 12 juillet 2016 une décision d’exécution (Décision Privacy Shield 2016/1250) (8) qui reconnaît aux mécanismes EU-US Privacy Shield un niveau de protection adéquat. En septembre 2017, se tiendra la première revue annuelle de l’accord qui vérifiera l’effectivité des garanties prévues.
Rapport d’activité 2016 de la Cnil : La priorité accordée au Règlement
Le G29 a adopté un plan d’action qui s’articule autour de deux axes principaux. Le premier axe sera la publication de lignes directrices afin de rendre l’application du RGPD la plus harmonieuse possible. Le second axe sera la construction d’un nouveau modèle de gouvernance des autorités. Il nécessitera la rédaction des procédures de coopération ainsi que de rendre opérationnel le Comité Européen à la protection des données.
De son côté, la Cnil met en place un plan d’action national dont les objectifs sont d’accompagner les professionnels, de transformer ses outils de conformité en standards européens et la conduite du changement en son sein.
Rapport d’activité 2016 de la Cnil : L’apport de précisions doctrinales et la fixation d’objectifs
La Cnil a profité de l’année 2016 pour revoir sa doctrine en matière de contrôle d’accès biométrique et pour préciser sa position concernant les dispositifs biométriques utilisés dans le cadre privé. Cette révision vise à permettre aux personnes de mieux maîtriser leurs données et anticiper l’application du RGPD.
De plus, elle s’est fixé comme objectif d’élaborer un pack de conformité dédié à l’open data, afin que la protection de la vie privée soit mieux prise en compte dans le nouveau contexte numérique.
La Cnil a également pris position sur les enjeux du chiffrement et des « portes dérobées ». Elle considère que la mise en place de tels dispositifs ou de clés maîtres fragilisent l’avenir de l’écosystème du numérique et la protection des données à caractère personnel.
La présidente de la Cnil a enfin réaffirmé que le RGPD (9) constitue une priorité absolue pour l’année 2017 tant pour les autorités de contrôle européennes que pour les entreprises et les organismes du secteur public. Il est donc essentiel de définir dès à présent un plan d’action précis et spécifique visant à se mettre en conformité pour le 25 mai 2018, date d’application du RGPD.
Lexing Alain Bensoussan Selas
Lexing Informatique et libertés
(1) Cnil, 37ème rapport d’activité pour l’année 2016, cnil.fr, 2017.
(2) Délib. Cnil en formation restreinte n° 2016-054 du 10-3-2016 prononçant une sanction pécuniaire à l’encontre de la société Google Inc.
(3) Délib. Cnil, n°2013-420 du 3-1-2014 prononçant une sanction de 150 000 euros à l’encontre de Google pour manquements aux règles de protection des données personnelles.
(4) Céline Avignon, Mise en demeure de Facebook par la Cnil, Alain-Bensoussan.com 9-2-2016, commentaire de la Délib. Cnil, 2016-007 du 26-1-2016, Facebook Inc et Facebook Ireland.
(5) Céline Avignon, Mise en demeure publique de Microsoft par la Cnil, Alain-Bensoussan.com 16-11-2016, commentaire de la Décision Cnil, 2016-058 du 30-6-2016, Microsoft Corporation.
(6) Délib. Cnil en formation restreinte, n° 2016-315 du 13-10-2016 Avertissement à l’encontre du Parti socialiste pour manquements à la sécurité, à la confidentialité et à la conservation des données.
(7) Loi pour une République numérique : ce qui va changer, Alain-Bensoussan.com 16-8-2016, présentation de la Loi pour une République numérique n°2016-1321 du 8-10-2016.
(8) Céline Avignon, La décision d’adéquation pour l’EU-US Privacy Shield, Alain-Bensoussan.com 13-7-2016, commentaire de la Décision d’exécution (UE) 2016/1250 du 12-7-2016 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis.
(9) Chloé Torres, Protection des données : adoption du règlement européen, Alain-Bensoussan.com 15-4-2016, présentation du Régl. (UE) 2016/679 du 27-04-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données).