La Cnil publie son rapport annuel pour 2019

rapport annuel pour 2019Sur le thème « La Cnil alliée de confiance du quotidien numérique », l’autorité chargée de la protection des données personnelles a rendu public le 9 juin 2020 son rapport annuel pour 2019.

Le rapport d’activité de la Cnil 2019, qui coïncide avec l’année de son 40ème anniversaire, est rendu public au moment où le Règlement général sur la protection des données (RGPD) vient de fêter le 25 mai 2020 le deuxième anniversaire de son entrée en application effective.

Nul doute dans ces conditions que ce texte qui a transformé en profondeur le droit de la protection des données à caractère personnel en Europe soit une nouvelle fois au cœur du rapport annuel pour 2019. C’est d’ailleurs le « constat indéniable » que souligne en avant-propos sa présidente Marie-Laure Denis : « L’année 2019 démontre que le RGPD est au cœur des préoccupations des Français et des Européens ».

Une très forte mobilisation autour du RGPD de la part de tous les publics

Le rapport souligne ainsi que 68 % des Français se déclarent plus sensibles à la question de la protection de leurs données personnelles. Un taux qui s’explique, selon la Cnil, en partie par « la médiatisation dont a bénéficié le RGPD en 2018 qui se concrétise par une prise de conscience massive, inscrite dans la durée ».

Cela s’est traduit en 2019, en 2019, par 8 millions de visites sur son site web ou encore 17 302 requêtes par voie électronique sur « Besoin d’aide », soit une augmentation de 2,5 %.

La Cnil a également reçu 14 137 plaintes, soit une hausse de 27 % par rapport à 2018 (11 077) et de 79 % en cinq ans.

L’autorité indique que les 2 287 notifications de violations de données personnelles reçues en 2019 lui permettent également « d’orienter au mieux son action de conseil ainsi que son action répressive et, finalement, de mieux jouer son rôle dans l’écosystème de la cybersécurité ».

En outre, pour répondre aux enjeux numériques de la vie quotidienne des Français, la Cnil a enrichi son offre éditoriale (recommandations, fiches, vidéos etc.) et a créé de nouveaux outils pratiques pour aider les particuliers à maîtriser leurs données personnelles et exercer leurs droits.

Le rapport annuel pour 2019 dresse le bilan de l’activité de contrôle et de sanction de la Cnil

Revenant sur l’entrée en application effective du RGPD et la mise en conformité du droit national qui en a découlé, la présidente Marie-Laure Denis souligne que la Cnil s’est « pleinement emparée du nouveau cadre juridique », ayant « activé les nouveaux seuils de sanction prévus par le RGPD, à l’image de la sanction Google de janvier 2019, qui reste encore, à ce jour, la sanction la plus importante en Europe décidée par les autorités de protection de données ».

Le rapport annuel pour 2019 souligne que pour faire écho à l’allègement des formalités et au principe de responsabilité des organismes, la Cnil s’investit pleinement dans les actions répressives, qui ont pris une nouvelle ampleur avec le RGPD.

Pour ce faire, l’autorité dispose aujourd’hui d’une chaîne répressive complète lui permettant de recevoir des signalements par des canaux divers, de réaliser des contrôles dont le nombre est stable par rapport à 2018 et dont les suites peuvent aller de la clôture à la mise en demeure ou à la sanction financière. Dans certains cas, une publicité peut être décidée en fonction de la gravité des manquements.

L’activité de la Cnil en quelques chiffres

En 2019, la Cnil a ainsi procédé à 300 contrôles dont :

  • 169 contrôles sur place ;
  • 53 contrôles en ligne ;
  • 45 contrôles sur pièce ;
  • 18 auditions.

8 sanctions ont été prononcées en 2019, dont :

  • 7 amendes d’un montant total de 51 370 000 euros ;
  • 5 injonctions sous astreinte.

Ces sanctions concernaient principalement des atteintes à la sécurité des données personnelles, des manquements à l’obligation d’information des personnes, des manquements liés aux durées de conservations des données et dans un cas, le non-respect du droit d’accès prévu par le RGPD.

42 mises en demeure ont par ailleurs été prononcées en 2019, dont 2 publiques, ainsi que 2 rappels à l’ordre et 2 avertissements. Les mises en demeure rendues publiques l’ont été en raison des manquements importants constatés. La moitié des mises en demeure a porté sur le droit au déréférencement, le droit d’opposition ou le droit d’accès.

Le rôle de conseil de la Cnil aux pouvoirs publics et au Parlement

En 2019, la Cnil a participé à plus de 30 auditions parlementaires. Elle a également adopté des avis sur plusieurs projets de loi, notamment celui sur la bioéthique, celui sur l’organisation du système de santé ou encore le projet de loi de finances s’agissant de l’utilisation des réseaux sociaux par l’administration fiscale.

Par ailleurs, du fait de l’actualité particulièrement riche dans le domaine de la reconnaissance faciale, la Cnil rappelle qu’elle a contribué au débat en présentant, le 15 novembre 2019, les éléments techniques, juridiques et éthiques qui doivent être pris en compte sur ce sujet qui soulève des questions inédites touchant à des choix de société.

La Cnil et l’accompagnement des professionnels

La Cnil aura également consacré l’année 2019 au développement de nombreux outils d’accompagnement à la conformité RGPD, parmi lesquels les premiers outils de droit souple tels que le référentiel de gestion des vigilances sanitaires, un cours en ligne ouvert à tous (MOOC) « Atelier RGPD » qui compte plus de 62 000 comptes, le site design.cnil.fr, ou encore la publication de nombreux contenus pédagogiques sur le site web cnil.fr.

La coopération européenne renforcée

La coopération entre autorités européennes continue à se développer. 79 décisions finales ont été adoptées dans le cadre européen du guichet unique en 2019 (dont 10 cas pour lesquels la Cnil a été autorité chef de file du fait que l’organisme visé avait son établissement principal en France, et 32 cas où la Cnil participait activement du fait que des Français étaient concernés par le traitement). 596 dossiers de coopération concernaient des plaintes et la Cnil était « chef de file » sur 54 cas.

Quatre nouvelles lignes directrices européennes, qui clarifient comment appliquer le RGPD, ont aussi été adoptées sur des sujets structurants tels que le champ d’application territorial, les codes de conduite, la base légale « contrat » pour la fourniture de services en ligne, ou encore les dispositifs vidéo. Deux consultations publiques ont également été amorcées, l’une portant sur la protection des données dès la conception et par défaut (data protection by design and by default), l’autre, sur les critères du droit à l’oubli dans les moteurs de recherche.

Sur la scène internationale, les autorités réunies au sein du Comité européen de la protection des données ont aussi émis un avis favorable sur le premier outil de transferts de données entre autorités publiques dans le domaine des services financiers, participé à l’évaluation annuelle du cadre juridique de transferts de données commerciales entre l’UE et les Etats-Unis (Bouclier de protection des données) et participé à leur première audience devant la Cour de Justice de l’Union européenne en tant qu’experts tiers au contentieux (dit « Schrems II »).

La Cnil et les enjeux 2020

Dans son rapport annuel pour 2019, la Cnil revient sur son plan d’action sur les cookies.

Concernant le ciblage publicitaire en ligne, la Cnil rappelle qu’elle a proposé un plan d’action le 28 juin 2019 qui se poursuit en 2020 et a deux objectifs :

  • répondre aux plaintes individuelles et collectives (La Quadrature du Net, Privacy International, NOYB) et
  • accompagner les professionnels du secteur du marketing digital dans leur dans leur mise en conformité par rapport obligations du RGPD.

Après la publication de lignes directrices le 18 juillet 2019 et suite à une consultation publique, la Cnil publiera une recommandation proposant des modalités opérationnelles de recueil du consentement.

Les actions menées par la Cnil durant l’état d’urgence sanitaire

Dans le contexte de la crise sanitaire liée au Covid-19, le rapport annuel pour 2019 rappelle que la Cnil est plus que jamais mobilisée pour protéger la vie privée et les libertés des personnes.

Elle a ainsi publié de nombreux contenus, à destination des professionnels mais également des particuliers, sur le télétravail, la continuité des activités, la recherche ou encore les données qui peuvent être traitées par les employeurs.

L’autorité s’est mobilisée pour instruire en priorité, dans des délais extrêmement courts, les demandes d’autorisation de projets de recherche portant sur le Covid-19, lorsque les traitements envisagés ne sont pas conformes aux méthodologies de référence déjà adoptées.

En outre, la Cnil a été saisie en urgence par le Gouvernement, dans le cadre de la mise en place de la stratégie de déconfinement, notamment d’avis sur les fichiers SI-DEP et Contact Covid et sur l’application mobile StopCovid. Après s’être prononcée sur les projets de décrets, la Cnil va désormais procéder à une série de contrôles de ces outils.

Éric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la Communication juridique

Commission Nationale de l’Informatique et des Libertés
Rapport d’activité 2019
Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles
La Documentation française, 112 pages, Juin 2020.

V. également le dossier de presse du 9 juin 2020.




Plafonnement des commissions d’interchange en vigueur

commissions d’interchangeLe règlement relatif aux commissions d’interchange est entièrement entré en vigueur le 9 juin 2016 (1).

Ce règlement vise à rendre le coût des paiements par cartes bancaires plus transparent pour les détaillants, notamment en plafonnant les frais facturés par les banques dans le cadre de l’utilisation des cartes bancaires par les consommateurs.

Mécanisme des commissions d’interchange

En effet, lorsqu’un consommateur paie un achat par carte de crédit ou de débit, la banque du détaillant (la «banque acquéreur») verse une commission à la banque qui a émis la carte de paiement en faveur du consommateur (la «banque émettrice»). Une «commission d’interchange» est ensuite déduite du montant final que le commerçant reçoit de la banque acquéreur pour l’opération. Les commerçants, à leur tour, répercutent ces coûts liés aux cartes, comme tous leurs autres coûts, sur le prix global de leurs biens et services.

L’Union Européenne était morcelée par la grande disparité du montant des commissions d’interchange pratiquées à travers les différents Etats membres et restait, également, impuissante face au caractère excessif que pouvaient, parfois, représenter ces commissions.

Plafonnement des commissions d’interchange

Après une série de jurisprudence nationale et communautaire rendue sur cette question de la fixation des commissions d’interchange, il a fallu attendre l’entrée en vigueur d’un premier corps de règles le 9 décembre 2015, pour voir fixer des plafonds applicables aux commissions d’interchange (1).

Le second corps de règles, qui est entré en vigueur le 9 juin 2016, vise à rendre le fonctionnement du marché des cartes bancaires plus efficient notamment en consacrant différents principes assurant la transparence et garantissant la réalisation d’un marché unique. Ce corps de règles s’inscrit dans la continuité de la mise en place d’une commission d’échange image-chèque (CEIC), d’un montant de 4,3 centimes d’euros par chèque (2).

Renforcement de la transparence

Dans le cadre du règlement précité, les consommateurs pourront demander à leur banque de co-badger une carte unique (ou, à l’avenir, leur téléphone portable) avec tous les produits de carte qu’elle émet pour le consommateur (par exemple Visa, MasterCard, Maestro ou American Express), cette possibilité état néanmoins sans préjudice du droit de la banque de refuser de fournir au client un produit déterminé (par exemple une carte premium) (3).

Test d’indifférence du marchand

Cependant, la disposition clé du règlement précité consiste à plafonner les commissions d’interchange, cette disposition est entrée en vigueur depuis le 9 décembre 2015. Les plafonds prévus dans le règlement sont fondés sur le «test d’indifférence du marchand», mis au point dans la littérature économique, qui détermine le niveau de commission qu’un commerçant serait disposé à acquitter s’il devait comparer le coût d’utilisation par le client d’une carte de paiement avec celui de paiements sans carte, en tenant compte de la commission de service versée aux banques acquéreurs, c’est-à-dire la commission de service acquittée par le commerçant et la commission d’interchange.

Le plafonnement des commissions d’interchange est encadré ainsi:

  • les prestataires de services de paiement ne proposent ni ne demandent une commission d’interchange par opération d’un montant supérieur à 0,2 % de la valeur de l’opération pour toute opération liée à une carte de débit (4).
  • Les prestataires de services de paiement ne proposent ni ne demandent une commission d’interchange par opération d’un montant supérieur à 0,3 % de la valeur de l’opération pour toute opération liée à une carte de crédit (5).
Une meilleure information des consommateurs

Enfin, afin d’accroître la transparence, l’information aux consommateurs est renforcée et clarifiée puisque, désormais, tous les détaillants devront afficher les cartes qu’ils acceptent de façon claire et univoque à l’entrée du magasin et à la caisse. Dans le cas des ventes en ligne, ces informations devront être affichées sur le site web ou sur tout autre support électronique ou mobile concerné (6).

En mettant un terme à cette fragmentation, préjudiciable à la compétitivité, et à la croissance au sein de l’Union, le règlement a pour ambition de participer alors au bon fonctionnement du marché intérieur en poursuivant son élimination des obstacles directs et indirects au bon fonctionnement d’un marché intégré des paiements électroniques.

 Frédéric Forster
Charlotte Le Fiblec
Lexing Droit télécom

(1) Règlement n°2015-751 du Parlement européen et du Conseil du 29 avril 2015 relatif aux commissions d’interchange pour les opérations de paiement liées à une carte (JOUE L 123, 19-5-2015, p. 1-15).
(2) Voir à ce sujet : Frédéric Forster, « Commissions d’inter-change chèques : les banques obtiennent gain de cause », AlainBensoussan.com, 9-3-2012.
(3) Article 8 du règlement 2015-751 : Cobadgeage et choix de la marque de paiement ou de l’application de paiement.
(4) Article 3 du règlement 2015-751 : Commissions d’interchange applicables aux opérations par carte de débit des consommateurs.
(5) Article 4 du règlement 2015-751 : Commissions d’interchange applicables à des opérations par carte de crédit des consommateurs.
(6) Article 10 du règlement 2015-751 : Règle imposant l’obligation d’accepter toutes les cartes.