Quantcast

Toujours plus sollicitée, la Cnil est au bord de la surchauffe

13 avr. 2018, PAR Emile Marzolf
  • 03
    MIN
  • 0

© Michel Spingler/AP/SIPA

À un mois de l’entrée en vigueur du Règlement général sur la protection des données, surchauffe en vue pour la Commission nationale de l’informatique et des libertés (Cnil), qui doit composer avec davantage de missions et toujours moins de moyens.


2017 constitue une année record pour la Commission nationale de l’informatique et des libertés (Cnil) en termes de sollicitations et d’activité. Comme chaque année, la commission a publié, cette semaine, son rapport d’activité. Dans un contexte de transformation numérique qui touche la totalité des secteurs d’activité, y compris l’État lui-même, on note globalement une augmentation logique de l’activité de la Cnil.

En tout et pour tout, l’autorité administrative indépendante a pris 4 124 décisions en 2017, contre 3 078 en 2016, et 453 en 2008. Son activité de contrôle et de sanction, si elle est numériquement moindre que l’année précédente, reste bien supérieure à ce qui prévalait il y a quelques années. Au total, 341 contrôles ont été réalisés, pour majeure partie à l’initiative de la Cnil, et 27 % concernent le secteur public.

Pour rappel, la Cnil est habilitée à sanctionner les entreprises et organismes publics qui ne se plient pas aux lois françaises en matière de sécurité et de protection des données. Ses sanctions vont ainsi du simple avertissement à l’infliction d’une amende en passant évidemment par la mise en demeure.

79 mises en demeure

À ce titre, la Cnil aura émis 79 mises en demeures, dont la dernière en date concerne la société Direct Énergie pour “absence de consentement” au sujet des données personnelles relevées par ses compteurs communicants Linky. L’assurance maladie s’est aussi fait épingler pour des “insuffisances de sécurité” sur son Système national d’information interrégimes de l’assurance maladie (Sniiram). Des insuffisances d’autant plus retentissantes que le déploiement généralisé du dossier médical partagé (DMP), prévu à l’automne, a été placé sous le patronage de le la Caisse nationale d’assurance maladie. Enfin, le ministère de l’Éducation nationale a lui aussi été mis en demeure, pour “manquements aux règles gouvernant la protection des données personnelles” concernant feu son logiciel Admission post-bac (APB).

Sur ces 79 mises en demeures, seules 14 sanctions ont effectivement été prononcées, dont 9 pécuniaires. Elles concernent notamment Facebook et Darty, qui ont écopé respectivement d’une amende de 150 000 euros et 100 000 euros.

3 millions d’euros de budget de moins qu’en 2015

Alors que le Règlement général sur la protection des données (RGPD) est en passe d’être transposé par la loi sur la protection des données personnelles, ses dispositions devant entrer en vigueur le 25 mai prochain, la Cnil n’a jamais autant été sollicitée, notamment pour son activité répressive, ses conseils et son rôle d’animation du débat public. Pourtant, son budget ne suit pas. Pour l’année 2017, il s’est élevé à 17 millions d’euros, contre 18,7 millions en 2016, et même 20 millions en 2015.

Son personnel évolue quant à lui au goutte-à-goutte pour atteindre 198 (+ 3) employés pour plus de 4 000 décisions prises, plus de 8 000 plaintes enregistrées et des dizaines de milliers de demandes d’information. À titre de comparaison, en 2008, la Cnil ne rendait que 453 décisions et n’enregistrait que 4 200 plaintes, alors qu’elle comptait 120 agents.

80 000 délégués à la protection des données à désigner

Or ses activités ne cessent de se diversifier avec, en plus de nouvelles missions de contrôle, une inclinaison vers l’accompagnement des entreprises et organismes publics dans leur mise en conformité vis-à-vis du règlement européen, notamment dans la désignation de délégués à la protection des données pour les organismes publics. Ce travail devrait en outre monter en charge, puisque le nombre de délégués à la protection des données avoisine pour le moment les 5 000, quand il doit logiquement grimper à 80 000 avant la fin de l’année, comme le veut le règlement européen.

Interrogé à ce sujet vendredi 13 avril au micro de France Inter par une auditrice, le secrétaire d’État au Numérique, Mounir Mahjoubi, a déclaré avoir “lancé le débat avec le Parlement pour augmenter les moyens de la Cnil”, qui doit selon lui devenir un “accompagnateur positif et un contrôleur”.