La CNIL a publié le 25 avril dernier son rapport d’activité pour l’année 2012 qui dresse le bilan des principaux développements intervenus lors de l’année écoulée en matière de protection des données personnelles.
Le rapport 2012 souligne l’intervention de la CNIL dans les domaines du cloud computing et de la vidéosurveillance et rappelle son implication dans l’audit mené à l’initiative du groupe de travail de l’article 29 (G29) auprès de Google. Le rapport revient également sur les derniers développements intervenus au niveau européen, notamment sur les travaux réalisés par le G29 et la Commission européenne.
S’agissant du cloud computing, le rapport consacre un « gros plan » à la publication, en juin 2012, d’un ensemble de recommandations à destination des organismes souhaitant avoir recours à des prestations de cloud, notamment les PME [ Netcom juillet 2012]. Le rapport rappelle les étapes à suivre lors du passage au cloud computing et insiste notamment sur celle du choix d’un prestataire présentant des garanties suffisantes en matière de protection des données à caractère personnel. La CNIL réitère à cette occasion l’impératif de transparence tant au stade de la négociation des conditions du service qu’au stade de la formalisation contractuelle pour laquelle des modèles de clauses sont proposés au sein desdites recommandations.
Concernant le contrôle opéré par la CNIL en matière de vidéosurveillance et de vidéoprotection, le rapport relève plus de 300 plaintes, dont 75% concernant la vidéosurveillance. Le rapport insiste sur le travail d’accompagnement par la CNIL des professionnels et des particuliers dans l’installation de dispositifs de vidéoprotection ou de vidéosurveillance. Ce travail d’accompagnement s’est concrétisé par la mise en ligne de fiches pratiques abordant différentes thématiques, parmi lesquelles celle de la vidéosurveillance au travail. Cette thématique est d’ailleurs aujourd’hui au centre des réflexions de la CNIL, l’influence des technologies dans les relations professionnelles ayant été inscrite par la CNIL dans son programme d’étude de l’année 2013. [Netcom mars 2013].
Le rapport de la CNIL revient ensuite sur l’un des évènements les plus marquants de l’année 2012, à savoir l’audit des nouvelles règles de confidentialité Google, initié par le groupe de travail de l’article 29 (G29) et mené par la CNIL. Aux termes de cet audit, les autorités européennes ont considéré que Google 1/ fournissait des informations incomplètes ou approximatives sur les finalités et les catégories des données collectées ; 2/ ne permettait pas le contrôle effectif par les utilisateurs de la combinaison de données entre ses nombreux services et 3/ ne précisait pas les durées de conservation des données collectées [Netcom octobre 2012].
Dans leur courrier adressé à Google le 16 octobre 2012, les autorités européennes ont ainsi recommandé de mettre en place une présentation avec trois niveaux de détails; de renforcer le consentement des personnes pour la combinaison des données pour certaines finalités, d’offrir un meilleur contrôle des utilisateurs sur la combinaison de données en centralisant et simplifiant le droit d’opposition (opt-out) et en leur permettant de choisir pour quels services leurs données sont combinées, et d’adapter ses outils afin de limiter cette combinaison aux finalités autorisées; et enfin, de respecter le principe d’une durée strictement limitée au regard des finalités des différents traitements.
Le rapport souligne que cette initiative constitue une première et une avancée considérable dans la mobilisation et la coopération des autorités européennes.
La coopération européenne et les travaux menés à l’échelle européenne par le G29, le Conseil de l’Europe et la Commission européenne sont, par ailleurs, largement évoqués dans le rapport. Celui-ci développe notamment le projet de règlement européen d’application directe dans l’ensemble des Etats membres de l’UE visant à remplacer la directive de 1995 sur la protection des données personnelles (95/46/CE).
Enfin, s’agissant des sanctions prononcées en 2012, le rapport comptabilise 43 mises en demeure, 13 sanctions dont 8 publiques, et 9 avertissements. Au-delà des chiffres, le rapport met surtout l’accent sur l’augmentation du recours à la publicité des décisions qui représente, pour l’organisme en cause, une sanction supplémentaire.
De manière générale, l’avertissement demeure la sanction la plus prononcée (56%) devant les sanctions pécuniaires (25%) et le montant le plus élevé prononcé en 2012 au titre d’une sanction pécuniaire est de 10 000 euros.
Saskia BOUROVITCH