Documente Academic
Documente Profesional
Documente Cultură
rapport dactivit
2015
COMMISSION NATIONALE DE
LINFORMATIQUE ET DES LIBERTS
PROTGER LES DONNES PERSONNELLES,
ACCOMPAGNER LINNOVATION,
PRSERVER LES LIBERTS INDIVIDUELLES
Diffusion
Direction de linformation lgale
et administrative
La Documentation franaise
Tl. 01 40 15 70 10
www.ladocumentationfranaise.fr
Commission nationale de
linformatique et des liberts
8, rue Vivienne
75083 Paris Cedex 02
Tl. 01 53 73 22 22
Fax 01 53 73 22 00
ISBN: 978-2-11-010351-2
DF: 5HC42290
Prix : 15e
www.cnil.fr
La
documentation
Franaise
rapport dactivit
2015
COMMISSION NATIONALE DE
LINFORMATIQUE ET DES LIBERTS
PROTGER LES DONNES PERSONNELLES,
ACCOMPAGNER LINNOVATION,
PRSERVER LES LIBERTS INDIVIDUELLES
2 571
DCISIONS ET DLIBRATIONS
dont :
- 244 autorisations
- 122 demandes davis
1 076
AUTORISATIONS DE TRANSFERT
50 339
FORMALITS SIMPLIFIES
Accompagner la conformit
96 323
6 852
12 463
359
DOSSIERS DE FORMALITS
DCLARATIONS POUR
DES SYSTMES DE
VIDOSURVEILLANCE
73
LABELS
DLIVRS
DCLARATIONS
POUR DES DISPOSITIFS
DE GOLOCALISATION
AUTORISATIONS EN MATIRE
DE BIOMTRIE
16 406
78
GROUPES
ONT ADOPT
DES BCR
Informer
34 367
COURRIERS REUS
136 251
APPELS TLPHONIQUES
250
INTERVENTIONS
LORS DE CONFRENCES,
COLLOQUES, SALONS.
Contrler
& sanctionner
510
CONTRLES DONT:
- 155 contrles en ligne
- 87 contrles vido
93
10
MISES EN DEMEURE
SANCTIONS DONT:
- 3 sanctions financires
- 7 avertissements
7 908
450
PLAINTES
suite des refus de demandes
de drfrencement auprs
des moteurs de recherche
192
GE MOYEN :
POSTES
40
ANS
- 64 %: Femmes
- 36 %: Hommes
- 48 % des agents
travaillant la CNIL
sont arrivs il y a 5 ans
- 71 % des agents occupent
un poste de catgorie A
Protger
PLAINTES,
dont 36 % concernent internet
Ressources
humaines
5 890
8 784
VRIFICATIONS RALISES
UNE ANCIENNET
MOYENNE DE
ANS ENVIRON
SOMMAIRE
Commission Nationale
de lInformatique et des Liberts
INTRODUCTION
03
06
Avant-propos de la Prsidente
09
ANALYSES
12
18
22
Comment concilier
protection de la vie prive
et libert de la presse ?
28
32
BILAN DACTIVIT
38
41
Conseiller et rglementer
46
Accompagner la conformit
53
62
Contrler et sanctionner
69
Anticiper et innover
73
La rgulation internationale,
un lment indispensable de
la protection des donnes
lre numrique
BILAN
FINANCIER ET
ORGANISATIONNEL
88
89
Les ressources
humaines et financires
LES SUJETS DE
RFLEXION EN 2016
80
Data brokers,
le ptrole et liceberg
82
Vhicules connects :
en route vers le pack
de conformit
84
ANNEXES
92
93
AVANT-PROPOS
DE LA PRSIDENTE
La libert
envers et
contre tout !
Isabelle Falque-Pierrotin,
Prsidente de la CNIL
La CNIL a maintenu
son cap, la recherche dun
quilibre dlicat entre des
impratifs divers mais pas
forcment antagonistes.
AVANT-PROPOS DE LA PRSIDENTE
La CNIL
est prte se rinventer
pour tre plus agile,
plus pragmatique.
La CNIL en 2015 :
pour une rgulation
performante
et de qualit
douard Geffray,
Secrtaire gnral
a CNIL avait, en 2012, arrt un plan dorientations stratgiques et oprationnelles pour les annes
2012-2015. Lanne 2015, dont le prsent rapport
annuel reflte lactivit et une partie des rflexions de
fond, a donc t marque par laboutissement de nombreux projets conformes ces orientations : faire de la
CNIL un vritable rgulateur tourn vers ses publics,
quil sagisse dinformer et de protger les droits des
personnes, ou daccompagner la mise en conformit des
entreprises, administrations ou associations qui traitent
des donnes.
Ce plan ambitieux tait en avance de phase sur le projet
de rglement europen, qui a fait lobjet dun accord
politique en dcembre 2015 et est en cours dadoption
dfinitive. Il sest traduit par lvolution des mtiers de
la CNIL, notamment vers laccompagnement de la mise
en conformit. Comme les annes prcdentes, il a t
conduit dans un environnement lui-mme en forte volution, que ce soit sous leffet du progrs technologique,
des bouleversements socitaux induits par le numrique
10
2015 a t lanne
de la maturit des
nouveaux outils de
conformit de la CNIL.
ANALYSES
Lutte contre le terrorisme et donnes personnelles:
quelles garanties pour les citoyens?
Les camras-pitons utilises par les forces de lordre
Comment concilier protection de la vie prive et libert de la presse ?
La protection des donnes personnelles au cur de la cyberscurit
Linvalidation du Safe Harbor : le travail coordonn de la CNIL
et du G29 pour prendre en compte les consquences de larrt SCHREMS
12
BILAN DACTIVIT
La cration de nouveaux
fichiers et la modification
de fichiers existants
la suite des attentats de janvier
2015, le Gouvernement avait annonc
la cration dun nouveau fichier de
suivi des personnes mises en cause ou
condamnes pour des infractions lies
au terrorisme. La CNIL sest prononce, le 7 avril 2015, sur un projet de
dispositions lgislatives visant crer
un fichier national des auteurs dinfractions terroristes (FIJAIT), intgres
par voie damendement au projet de loi
relatif au renseignement. Cet avis a t
rendu public par le Gouvernement.
Les conditions de mise en uvre de
ce traitement sont trs proches de celles
du fichier judiciaire national automa-
13
Ainsi, la CNIL a rappel que la conservation dadresses non mises jour napparait pas utile au regard de la finalit de
suivi des personnes concernes, ce qui
est le cas des adresses conserves audel de la date de fin des obligations qui
psent sur ces personnes, de mme que
la conservation, au-del de cette date,
de donnes qui pourraient dj figurer
dans dautres fichiers judiciaires (TAJ
et casier judiciaire, par exemple) ou de
renseignement (tel CRISTINA). Sur les
destinataires de ces informations, elle a
estim que les autorits judiciaires et les
services spcialiss de renseignement ne
devaient pouvoir accder au FIJAIT que
dans le seul cadre de leurs missions de
lutte contre le terrorisme et que, sagissant des prfets et administrations de
ltat, le primtre des enqutes leur permettant de recevoir communication des
donnes devait tre prcis et restreint
certaines activits ou professions en lien
avec les infractions pouvant donner lieu
une inscription dans le fichier.
En avril 2015, la CNIL a galement
examin un traitement, mis en uvre par
ladministration pnitentiaire, relatif au
suivi des personnes places sous main
de justice et destin la prvention
des atteintes la scurit publique ,
dnomm CAR . Lavis de la CNIL sur
le projet de dcret en portant cration
na pas t rendu public, car le ministre de la justice a entendu se prvaloir
de plusieurs drogations dont peuvent
bnficier les traitements intressant la
scurit publique et la sret de lEtat
prvues par la loi du 6 janvier 1978
modifie, et en particulier de labsence
de publication dudit dcret et de lavis
de la CNIL correspondant. Nanmoins,
il na pas exclu ce traitement du contrle
de la Commission. Ce traitement, finalement cr par dcret du 10 novembre
2015 et qui est donc pleinement soumis
ses pouvoirs de contrle, a bnfici
dun avis favorable avec rserve de
la CNIL.
En parallle de la cration de ces
nouveaux traitements, plusieurs fichiers
ont t modifis en 2015.
Dans le cadre des dbats parlementaires relatifs la loi sur le renseignement, le Gouvernement a ainsi dpos
un projet damendement visant per-
DERNIRE MINUTE
14
BILAN DACTIVIT
INFO +
ainsi t modifies, en allongeant substantiellement leur dure de conservation par les services de renseignement :
initialement conserves pendant un an,
puis trois ans avec la LPM, elles peuvent
dornavant tre conserves cinq ans par
ces services. Les interceptions de scurit, cest--dire les coutes administratives des contenus des conversations
lectroniques (tlphone, mail, chat,
etc.), ont t tendues aux personnes
appartenant lentourage des personnes
surveilles.
La loi relative au renseignement a en
outre tendu aux services de renseignement lemploi de moyens dj autoriss
dans la cadre de la police judiciaire et
15
16
BILAN DACTIVIT
lies, les lieux dans lesquels les dispositifs techniques peuvent tre installs
ou encore les catgories de personnes
faisant lobjet de telles mesures (avocats,
parlementaires, etc.) ;
la possibilit de mettre en uvre
de telles techniques rserve aux seuls
agents individuellement dsigns et spcialement habilits ;
le contrle hirarchique sur les autorisations de mise en uvre de ces techniques, qui relvent du Premier ministre ;
le contrle exerc par une nouvelle
autorit administrative indpendante, la
Commission Nationale de Contrle des
Techniques de Renseignement (CNCTR),
notamment charge dexaminer pralablement toute demande dautorisation
dune telle technique et de contrler la
mise en uvre de cette dernire ;
lindpendance de la CNCTR et leffectivit de son contrle ;
la possibilit pour toute personne de
saisir la CNCTR et le Conseil dEtat aux
fins de vrifier quaucune technique de
renseignement nest irrgulirement mise
en uvre son gard.
Ainsi, le lgislateur a soumis les techniques de renseignement deux types de
contrle, le premier exerc par la CNCTR
et le second par le Conseil dtat. La nouvelle autorit administrative indpendante
est ainsi charge dexaminer les motifs de
la demande des services de renseignement, sa finalit ainsi que la proportionnalit du recours la technique invoque.
Le Conseil dtat est quant lui charg
dexaminer les recours contentieux dans
le cadre du recours illgal lune des
techniques de recueil du renseignement
et peut donc exercer un contrle juridictionnel sur ces activits.
Concrtement, le citoyen peut ainsi
saisir dune rclamation la CNCTR
lorsquil souhaite vrifier quaucune
technique de renseignement nest irrgulirement mise en uvre son gard.
Cette commission doit alors procder au
contrle de la ou des techniques invoques, en vue de vrifier quelles ont t
ou sont mises en uvre dans le respect
du cadre juridique, et peut adresser des
17
18
BILAN DACTIVIT
RETENIR
Le Lgislateur
a encadr
linstallation
de camras sur
la voie publique
ou dans des
lieux ouverts
au public car
celle-ci soulve
de nombreuses
questions
de respect
des liberts
individuelles.
Des questions similaires se posent pour lensemble des camras mobiles utilises par les autorits
publiques, quil sagisse de camras embarques sur des vhicules par exemple ou encore de drones.
Pour des raisons diverses, lensemble des garanties prvues par le lgislateur sagissant des camras
filmant la voie publique semble difficilement applicable de tels dispositifs. Leur utilisation croissante
soulve ds lors des enjeux importants en matire de vie prive quil importe de mieux prendre en
compte.
19
20
BILAN DACTIVIT
sur lenregistrement dont elles font lobjet doit ainsi tre obligatoire. Le recours
des signaux visuels spcifiques, permettant la personne filme de prendre
conscience quelle est effectivement enregistre, devrait galement tre privilgi.
En outre, le public devrait pouvoir accder
directement aux enregistrements qui le
concernent, dans les mmes conditions
que celles qui prvalent pour les camras
de vidoprotection.
Des mesures de scurit devraient
galement garantir labsence de visualisation des enregistrements avant louverture
de toute procdure, la traabilit totale
des consultations de ces enregistrements,
ainsi que lintgrit de ces derniers, de
DERNIRE MINUTE
21
22
Comment concilier
protection de la vie prive
et libert de la presse ?
Lapplication de la loi
Informatique et Liberts
aux traitements journalistiques rsulte de linformatisation de lensemble de la chane de production de linformation,
de la rdaction dun
article sa diffusion. Elle
rsulte aussi de la volont
expresse du lgislateur
qui, tout en amnageant un rgime drogatoire propre, na pas souhait exclure
compltement cette activit du champ de la loi. Il convient ainsi de trouver un juste
quilibre entre libert de la presse et protection des donnes.
BILAN DACTIVIT
23
RETENIR
24
2 Rejoignant par l larticle 13 de la loi du 29 juillet 1881 modifie qui offre une possibilit particulire de
mise jour la personne mise hors de cause dans une procdure pnale, la charte europenne des devoirs
et des droits des journalistes, qui rappelle lobligation de rectifier toute information publie qui se rvle
inexacte et la charte dthique professionnelle des journalistes adopte par le Syndicat National des Journalistes,
qui indique quun journaliste digne de ce nom dispose dun droit de suite, qui est aussi un devoir, sur les
informations quil diffuse et fait en sorte de rectifier rapidement toute information diffuse qui se rvlerait
inexacte. .
3 Selon lexpos des motifs du projet de loi modifiant la loi du 6 janvier 1978 prsent par Madame Marylise
LEBRANCHU, Garde des sceaux, ministre de la Justice, cette disposition rappelle que les drogations la loi
du 6 janvier 1978 applicables aux traitements journalistiques ne font pas obstacle lapplication des
dispositions civiles et pnales ayant pour objet la protection de la vie prive, ainsi que la protection des
personnes contre les atteintes leur rputation .
4 La dsindexation volontaire dune page web par le responsable du site web considr na pas les mmes effets que le drfrencement dun rsultat de recherche par un moteur
de recherche. Dans le premier cas, cest lensemble des informations diffuses par lintermdiaire de la page web en question ; dans le second, seul un rsultat apparaissant sur
des critres dfinis ne figurera plus dans les rsultats dune recherche utilisant ces critres (imaginons, par exemple, que M. Roger Cuniculi, leveur de lapins Rambouillet,
obtienne le drfrencement du rsultat apparaissant sur interrogation de son identit ; linformation reste nanmoins accessible si lon utilise dautres critres de recherche
notamment ici leveur + lapin + Rambouillet . Dans lhypothse dune dsindexation volontaire de la page web correspondante, il ne serait pas possible daccder
linformation, quels que soient les critres de recherche utiliss.).
BILAN DACTIVIT
plter sa requte.
les refus mal fonds : certains
organes de presse considrent quils
relvent exclusivement du droit de la
presse et refusent de faire droit aux
demandes dopposition dont ils sont saisis en arguant, par exemple, que la loi
informatique et liberts ne leur est pas
applicable, quun site web nest pas un
traitement ou que la loi prvoit un rgime
drogatoire pour les archives de presse.
Or, comme rappel plus haut, cest
volontairement que le lgislateur na pas
cart lapplication du droit dopposition
pour motifs lgitimes aux traitements
journalistiques.
Certains organes de presse refusent
aussi de faire droit aux demandes dont
ils sont saisis par un simple courrier strotyp, sans examen au fond des motifs
invoqus. Or, leur refus doit tre motiv
ds lors que la demande nest pas abusive.
La CNIL a ainsi d adopter une mise en
demeure lgard dun organe de presse
132
5 Le dernier pour cent concerne une interrogation gnrale sur droit dopposition et droit au drfrencement.
6 Certains plaignants justifient leur demande de drfrencement par lignorance que leurs propos ou leur photographe seraient diffuss en ligne ou diffuss de faon nominative.
25
LES INITIATIVES
ENVISAGES
lissue de ces auditions, la
Commission a dcid de poursuivre ses
efforts de conciliation de la libert de la
presse et de la protection des donnes,
en concertation avec les professionnels
du secteur.
Dans ce but, la Commission sapprte
communiquer sur le bilan des auditions
menes en 2015 et diffuser deux fiches
pratiques Comment exercer son droit
dopposition et Comment rpondre
une demande dopposition destination
du grand public et des organes de presse.
De mme, elle organisera, destination des organes de presse, une journe
dinformation et dchanges sur les modalits de traitement des demandes dopposition (forme des demandes, possibilits
de rponse, rle de la CNIL, consquence
dune rponse positive, etc.) et le droit
au drfrencement (acteurs, effets, critres, etc.).
Enfin, elle proposera aux organes de
presse un accompagnement juridique dans
le traitement des demandes dopposition
qui leur sont adresses directement et
envisage une mise jour de la recommandation du 21 janvier 1995.
INFO +
26
BILAN DACTIVIT
PLAINTES
PROPORTION
55
42 %
19
14 %
Faits divers
10
8%
6%
5%
5%
4%
4%
3%
3%
3%
2%
1%
132
100 %
Cette typologie rejoint celle des organes de presse auditionns au dbut de lanne 2015. On constatera que les trois premires
catgories ( chroniques judiciaires , mise en cause judiciaire et faits divers ) rassemblent presque 64 % des motifs de saisines
concernant la presse. On soulignera aussi que certaines plaintes portent sur des articles pouvant entrer dans plusieurs des catgories cidessus (portrait voquant la fois le parcours professionnel et la vie prive, candidat une lection prenant une position publique, etc.).
Histoires vcues
Un ancien mdiateur pnal est mis
en cause, en 2001, dans une affaire
pnale ; un quotidien rgional relate
ses dboires et se fait lcho de
ses protestations dinnocence.
En 2013, deux articles de 2001 et
2002 sont toujours diffuss en ligne.
Le plaignant exerce alors son droit
dopposition auprs du quotidien,
en mettant en avant lanciennet
des faits et latteinte son honneur
du fait dune dcision en sa faveur
rendue en appel. Le quotidien lui
rpond que sa demande nest pas
conforme aux textes en vigueur et
La personne demande le
drfrencement des liens
hypertextes pointant vers les
divers articles, mais essuie un
refus. Il saisit alors la CNIL dune
plainte. Aprs instruction,
la Commission a refus dintervenir
lappui de sa demande aux motifs
que cet incident rcent est
intervenu dans lespace public,
sinscrivant dans le contexte de
votre relation avec une personne
jouant un rle dans la vie publique.
En outre, le rcit de cet incident a t
effectu des fins journalistiques. .
27
28
LA CYBERSCURIT
AU CUR DE LACTION
DE LA CNIL
Lanne 2015 fut marque par de
nombreux changements dans lcosystme du numrique et de la cyberscurit :
le cloud computing, les objets connects et le big data ont pris de lampleur ;
le paysage lgal a volu avec la loi de
programmation militaire et la loi relative
au renseignement ; le nombre de cyberattaques a encore progress ; les violations de donnes se sont multiplies
(Uber, Anthem, Ashley Madison) et le
nombre de donnes concernes se sont
souvent comptes en dizaine de millions.
Comment, dans ce contexte, instaurer la confiance des partenaires et des
internautes pour accompagner linnovation numrique ? Les efforts en matire
de scurit devront tre non seulement
poursuivis, mais aussi adapts.
Le besoin dintgrer
la cyberscurit et la
protection de la vie prive
Le respect de la vie prive est au cur
du dveloppement du numrique. Il en
est de mme de la prise en compte de
la scurit des systmes dinformation,
permettant dassurer notamment la rsilience des infrastructures.
Les notions
de scurit et
de protection
de la vie prive
sont aujourdhui
indissociables.
INFO +
BILAN DACTIVIT
Les rgles de
base de scurit
la mise en uvre de
solutions de scurisation
des flux et des donnes
stockes,
le cloisonnement
des environnements
en fonction de leur
sensibilit et des donnes
qui y sont traites(le
rseau WiFi ouvert
aux clients ne doit par
exemple pas tre connect
au rseau bureautique
ou de production de
lentreprise),
la gestion des
habilitations permettant
de limiter laccs des
donnes aux seules
personnes autorises,
la contractualisation
de la scurit dans la
relation avec les tiers.
29
30
BILAN DACTIVIT
INFO +
Le PIA
Le PIA est une tude comprenant une rflexion sur
le traitement de donnes caractre personnel,
lapprciation des risques sur la vie prive, et la
description de leur traitement. Il correspond la mise
en uvre du processus de gestion des risques sur la vie
prive aux fins den tirer les consquences sur les mesures
de scurit mettre en uvre.
Pour tous les cas non couverts par des packs de conformit,
des formalits simplifies ou des guides sectoriels, et en
complments de ceux-ci, le PIA aide la mise en conformit,
notamment pour les traitements complexes, jugs risque
ou forts enjeux dun point de vue informatique et liberts.
31
32
BILAN DACTIVIT
La CJUE
a consacr
lindpendance
des autorits
de protection
des donnes
vis--vis de la
Commission
europenne.
Lexigence de proportionnalit
Ainsi, nest pas limite au strict
ncessaire une rglementation qui autorise de manire gnralise la conservation
de lintgralit des donnes caractre
personnel de toutes les personnes dont les
donnes ont t transfres depuis lUnion
vers les tats-Unis sans quaucune diffrenciation, limitation ou exception soit
opre en fonction de lobjectif poursuivi
et sans que soit prvu un critre objectif permettant de dlimiter laccs des
autorits publiques aux donnes et leur
utilisation ultrieure des fins prcises,
strictement restreintes et susceptibles de
justifier lingrence que comportent tant
La Commission
navait pas
suffisamment
dtaill dans
sa dcision
les mesures
par lesquelles
les tats-Unis
assuraient
un niveau de
protection des
donnes suffisant.
laccs que lutilisation de ces donnes
[voir en ce sens, en ce qui concerne la
directive 2006/24/CE du Parlement europen et du Conseil, du 15 mars 2006,
sur la conservation de donnes gnres
ou traites dans le cadre de la fourniture
de services de communications lectroniques accessibles au public ou de rseaux
publics de communications, et modifiant
la directive 2002/58/CE (JO L 105, p.
54), arrt Digital Rights Ireland e.a., C
293/12 et C 594/12, EU:C:2014:238,
points 57 61].5
1 Arrt de la Cour (grande chambre), 6 octobre 2015, dans laffaire C 362/14, ayant pour objet une demande de dcision prjudicielle au titre de larticle 267 TFUE, introduite par
la High Court (Haute Cour de justice, Irlande), par dcision du 17 juillet 2014, parvenue la Cour le 25 juillet 2014, dans la procdure Maximillian Schrems contre Data Protection
Commissioner, en prsence de: Digital Rights Ireland Ltd).
2 2000/520/CE: Dcision de la Commission du 26 juillet 2000 conformment la directive 95/46/CE du Parlement europen et du Conseil relative la pertinence de la protection
assure par les principes de la sphre de scurit et par les questions souvent poses y affrentes, publis par le ministre du commerce des tats-Unis dAmrique [notifie sous
le numro C(2000) 2441] (Texte prsentant de lintrt pour lEEE.)
3 Voir notamment le paragraphe 83 de larrt : La dcision 2000/520 concerne uniquement le caractre adquat de la protection fournie aux tats-Unis par les principes [de la
sphre de scurit] mis en uvre conformment aux FAQ en vue de rpondre aux exigences de larticle 25, paragraphe 1, de la directive [95/46], sans pour autant contenir les
constatations suffisantes quant aux mesures par lesquelles les tats-Unis dAmrique assurent un niveau de protection adquat, au sens de larticle 25, paragraphe 6, de cette
directive, en raison de leur lgislation interne ou de leurs engagements internationaux.
4 Paragraphe 92 de larrt SCHREMS
5 Paragraphe 93 de larrt SCHREMS
33
34
BILAN DACTIVIT
Le G29 a soulign
que 4 garanties
devraient tre
respectes ds lors
que les services
de renseignement
amricains accdent
des donnes de
citoyens europens.
35
DERNIRE MINUTE
36
8 Les Binding Corporate Rules (BCR) constituent un code de conduite, dfinissant la politique dune entreprise en matire de transferts de donnes. Les BCR permettent doffrir une protection
adquate aux donnes transfres depuis lUnion europenne vers des pays tiers lUnion europenne au sein dune mme entreprise ou dun mme groupe.
9 Il sagit de modles de clauses contractuelles adoptes par la Commission europenne qui permettent dencadrer les transferts de donnes personnelles hors de lUnion europenne. Elles ont
pour but de faciliter la tche des responsables de traitement dans la mise en uvre de contrats de transfert. On distingue les transferts de responsable de traitement responsable de traitement
et les transferts de responsable de traitement sous-traitant. Il existe donc deux types de clauses afin dencadrer chacun de ces transferts.
BILAN DACTIVIT
Informer le grand public et les professionnels
Conseiller et rglementer
Accompagner la conformit
Protger les citoyens
Contrler et sanctionner
Anticiper et innover
La rgulation internationale,
un lment indispensable de la protection
des donnes lre numrique
DERNIRE MINUTE
38
BILAN DACTIVIT
Le cap des 50.000 followers sera bientt atteint par le compte Twitter de la @
CNIL qui enregistre une anne record pour
les conversations sociales citant la CNIL.
Son action internationale, ses actualits
contentieuses et ses infos pdagogiques
ont t largement commentes dans plus
de 110.000 tweets* !
64%
DES PERSONNES
CONNAISSENT LA CNIL
34 367 courriers
136 251appels
au 01.53.73.22.22
(+2,3 % par rapport 2014)
INFO +
39
40
LDUCATION AU NUMRIQUE,
UNE MISSION STRATGIQUE POUR LA CNIL
Durant lanne 2015, la CNIL a poursuivi lanimation du Collectif ducation
au numrique et le pilotage des actions
estampilles Collectif educnum . Le
Collectif a accueilli de nouvelles structures en son sein (Association de la fondation tudiante pour la ville, Confrence
des Prsidents dUniversits, fondation
SNCF, fondation Simplon) afin de renforcer ses actions dducation au numrique
vers les publics jeunes. Elle a fortement
dvelopp ses relations avec le ministre
de lducation nationale et multipli les
visites de terrain.
BILAN DACTIVIT
Conseiller et rglementer
Lactivit de conseil et de rglementation de la CNIL est varie : avis sur des projets de
texte dorigine gouvernementale concernant la protection des donnes personnelles
ou crant de nouveaux fichiers, laboration de cadres juridiques simplifiant
laccomplissement des formalits pralables, autorisations, recommandations,
conseils. Dans toute cette gamme dactivits, la CNIL veille la recherche permanente
dun juste quilibre, au service du citoyen, entre la protection des liberts publiques
et la mise en uvre doutils oprationnels des administrations et organismes publics
et privs.
50 339
FORMALITS SIMPLIFIES
21
AUTORISATIONS
UNIQUES ADOPTES
NORME SIMPLIFIE
ACTES RGLEMENTAIRES
UNIQUES
2 571
DCISIONS ADOPTES
456
DLIBRATIONS ADOPTES
ENSANCE PLNIRE
1 076
AUTORISATIONS
DETRANSFERTS
DE DONNES HORS UE
41
Nombre dengagements de conformit une norme de simplification reus par la CNIL depuis 2010
2010
2011
2012
2013
2014
2015
Total
Autorisations uniques
4 263
4 242
4 734
4 366
4 623
6 582
28 810
243
278
256
293
365
609
2 044
38 983
41 306
41 156
43 985
42 640
40 526
248 596
1 378
1 475
2 258
2 216
2 019
2 622
11 968
44 867
47 301
48 404
50 860
49 647
50 339
291 418
Mthodologies de rfrence
Normes simplifies
Total gnral
FOCUS
42
754
AUTORISATIONS
DERECHERCHE
EN MATIRE DE SANT
142
AUTORISATIONS
DVALUATION DES
PRATIQUES DE SOINS
BILAN DACTIVIT
SUIVRE
244
AUTORISATIONS
REFUS DAUTORISATION
122
DEMANDES DAVIS
(ADMINISTRATIONS
CENTRALES)
conforter ainsi son engagement dans la
rgulation du numrique et son activit
daccompagnement des particuliers, des
entreprises et des administrations. La
question de la rvision du montant des
sanctions susceptibles dtre prononces
par la CNIL, actuellement de 150 000
euros, est actuellement en dbat devant
le Parlement.
43
44
En particulier, elle a rappel que la vrification pralable des processus danonymisation, sous le contrle de la CNIL,
constitue un impratif majeur pour une
ouverture des donnes respectueuse des
droits des personnes.
Une simplification des procdures pour
la statistique et la recherche publique,
dans le prolongement des propositions
de la CNIL
Le projet de loi comporte enfin des
dispositions relatives la recherche
publique, en matire statistique ou scientifique. Il vise ainsi simplifier les formalits pralables aux recherches publiques
utilisant le NIR. La CNIL sest montre
favorable cette simplification, quelle
avait propose depuis plusieurs annes,
ds lors, dune part, que le NIR fait
lobjet dun cryptage robuste et, dautre
part, que les recherches publiques des
fins scientifiques conduites sur ce fondement devront tre autorises par la
Commission.
La CNIL
pourra certifier
la conformit la
loi de mthodologies
danonymisation
renforant la scurit
juridique pour les
administrations.
FOCUS
45
Travaux lgislatifs :
projets et propositions de loi
La CNIL a rpondu aux invitations
des rapporteurs des commissions permanentes dans les deux assembles, qui ont
eu connatre trois projets de loi pour
lesquels la CNIL avait t saisie pour avis
par le gouvernement : le projet de loi de
modernisation de notre systme de sant,
le projet de loi relatif au Renseignement
et le projet de loi pour une Rpublique
numrique. Sagissant de ces deux derniers textes, les avis de la CNIL ont t
Missions parlementaires
de rflexion, de prospective
et de contrle
La CNIL a particip aux travaux de
46
Accompagner la conformit
Le respect de la loi Informatique et Liberts implique, de la part des acteurs, une
mise en conformit dynamique . Il ne sagit pas en effet seulement de dmarches
administratives dont une bonne partie va disparatre avec le rglement europen .
Il sagit de respecter, pendant toute la vie dun traitement de donnes, les principes,
droits et obligations poses par la loi, notamment les droits des personnes, tout en
les dclinant de manire oprationnelle. Les avantages de la conformit pour les
professionnels sont en outre nombreux : assurer une scurit juridique aux acteurs ;
tirer parti du droit pour en faire un facteur de succs ; accrotre le capital de confiance
vis--vis des interlocuteurs. La CNIL a dvelopp une gamme doutils complmentaires
permettant daccompagner aux mieux les diffrents mtiers et secteurs dactivit.
Fdrer
Rguler les donnes personnelles
implique de connatre prcisment les
spcificits mtier des diffrents acteurs,
pour pouvoir prendre rapidement position
sur les sujets mergents ou diffuser des
bonnes pratiques partager. Consciente
du rle tenu par la communaut des CIL
dans ce contexte, la CNIL a souhait,
loccasion des 10 ans de ce mtier, orga-
Dsigner un CIL
ds aujourdhui,
cest anticiper
sur les nouvelles
exigences poses.
INFO +
47
rsultats obtenus avec les rseaux existants, tels que SUPCIL (rseau de CIL des
tablissements denseignement suprieur
et de recherche).
Prparer lavenir
Alors que la dsignation dun CIL est
actuellement optionnelle, le futur dlgu la protection des donnes sera au
cur du modle propos par le rglement
europen qui prvoit en particulier lobligation de mettre en uvre des mesures
dynamiques de protection des donnes
personnelles et dtre en mesure de les
dmontrer (souvent connue sous le terme
anglais daccountability).
En effet, bientt obligatoire pour de
nombreux organismes, son rle de pilote
de la conformit est consacr au travers
48
Le CIL devient
un vritable
chef dorchestre
de la conformit
16 406
20000
12 953
15000
10000
7 300
8 826
14 441
16 406
PERSONNES ACCUEILLIES
LORS DE 34 ATELIERS CIL
10 709
2 100
5000
2010
2011
2012
2013
2014
2015
SUIVRE
1 163
DEMANDES DE CONSEIL
JURIDIQUE TRAITES
DFINITION
BILAN DACTIVIT
Club de
conformit
assurance
49
Le label
Le Label atteste de la
conformit dun produit
ou dune procdure aux
exigences des rfrentiels
de la CNIL.
Il permet :
- De disposer dun avantage
concurrentiel
- Dafficher un indicateur
de confiance,
- Daugmenter sa crdibilit,
- De prouver son attitude
thique et responsable,
- Danticiper le futur
rglement europen.
-
une autorisation unique portant sur
les traitements mis en uvre dans le
cadre de laccueil et laccompagnement
des personnes handicapes et des personnes ges,
- une autorisation unique relative aux traitements mis en uvre dans le cadre
de laccueil, lorientation et laccompagnement social des personnes
- une autorisation unique relative aux traitements mis en uvre dans le cadre
de la prvention et la protection de
lEnfance.
Les fiches explicatives rappelant
les grands enjeux dans ce secteur (donnes sensibles, partage des informations, scurit...). Elles sont destines
accompagner les acteurs dans lappropriation des rgles relatives la protection des donnes personnelles grce
des informations pratiques (recommandations de la CNIL, bonnes pratiques,
etc.)
Le guide oprationnel consistant
accompagner les acteurs dans leur
dmarche de mise en conformit en
leur proposant un recueil des actions
concrtes mener.
Le suivi du pack sur le logement social
et les travaux mens sur la silver conomie
Les packs de conformit saccompagnent dactions de sensibilisation
SUIVRE
DFINITION
50
Dans le prolongement
des travaux mens pour
llaboration du pack
social, et dans le cadre
du partenariat entre
la CNIL et la FIEEC,
un groupe de travail
a t cr pour laborer
une seconde brique
au pack sur les compteurs
communicants. Elle
est consacre aux
conditions de collecte
et de traitement des
donnes personnelles
par les appareillages
de domotique et de
dispositifs dassistance
destins prserver
lautonomie des sniors.
LE LABEL : UN AVANTAGE
CONCURRENTIEL
Cr il y a un an, le label Gouvernance rpond aux attentes des organismes tant privs que publics, de petites
et de grandes tailles, soucieux de mettre
en avant leur gestion des donnes personnelles de manire gnrale.
Le premier organisme bnficiaire de
ce label est le Dpartement des Alpes
Maritimes. Cet exemple ouvre dsormais
la voie aux 650collectivits territoriales
et tablissements Publics de Coopration
Intercommunale qui disposent dj dun
CIL et qui peuvent donc potentiellement
prtendre lobtention de ce label.
Depuis, dautres demandes de label gouvernance ont t examines et pourraient
NXXXX-XXXX
EXPIRE : XX/XX/X
BILAN DACTIVIT
40
RFRENTIELS
97
DEMANDES
DE LABELS REUES
73
LABELS DLIVRS
30
19
20
10
0
20
16
5
2011
2013
2014
2015
INFO +
51
52
BANQUE-ASSURANCE
BCR
responsable de traitement
ABN AMRO, AXA*, Citigroup, ING Bank, JP Morgan Chase & Co.,
Rabobank, Socit Gnrale*
INDUSTRIE
BCR
responsable de traitement
LUXE
BCR
responsable de traitement
Herms*, LVMH*
NOUVELLES TECHNOLOGIES
BCR
responsable de traitement
BCR
sous-traitant
Salesforce*
BCR
responsable de traitement
et sous-traitant
BCR
responsable de traitement
BCR
responsable de traitement
et sous-traitant
Align Technology
SERVICES
BCR
responsable de traitement
BCR
responsable de traitement et soustraitant
* groupes ayant dsign la CNIL comme autorit chef de file
BILAN DACTIVIT
La CNIL a reu
7 908 plaintes dont
plus de 65 %
via le nouveau
service de plaintes
en ligne disponible
sur son site.
Cest 2000 de
plus quen 2014.
7 908
8000
7000
6000
5000
4 821
5 738
6 017
5 638
5 802
Rpartition des plaintes par secteur
4000
3000
INTERNET
TELECOM 36%
2000
COMMERCIAL
26 %
1000
INFO +
2010
2011
2012
2013
2014
2015
AUTRES
3%
SANT
SOCIAL
3%
POLICE
JUSTICE 1 %
LIBERTS
PUBLIQUES
5%
BANQUES 10 %
TRAVAIL 16 %
53
54
FOCUS
BILAN DACTIVIT
La e-rputation
Face la pratique gnralise consistant rechercher des
informations sur une personne via les moteurs de recherche,
contrler sa rputation sur internet constitue une proccupation
grandissante des citoyens. Ces derniers ont leur disposition
deux dmarches aux effets diffrents :
- soit, sadresser au site qui est lorigine de la diffusion de
linformation, cest--dire exercer son droit dopposition auprs
du site. Si le site rpond favorablement la demande, il pourra
supprimer le contenu qui ne sera plus accessible sur internet ou
procder son anonymisation (par exemple, sil sagit dun article
ou dun commentaire sur un forum, les rfrences lidentit de
la personne seront supprimes mais pas le reste du contenu) ;
- soit effectuer une demande de drfrencement, cest dire
demander la suppression de certains liens de la liste des rsultats
affichs par le moteur de recherche (ce droit a t reconnu par une
dcision de la cour de justice de lunion europenne - CJUE du 13 mai 2014). En 2015, la CNIL a reu prs de 450 plaintes de
personnes physiques qui se sont vu opposer un refus une demande
de drfrencement effectue auprs dun moteur de recherche.
Les usagers demandent principalement la suppression de liens
(URLs) diffuss sur des annuaires, des blogs, pages web perso,
des sites marchands, des sites de presse et des rseaux sociaux.
La CNIL est intervenue auprs des moteurs de recherche pour leur
demander un drfrencement dans 30 % des dossiers traits.
Elle a reu de leur part 76 % de rponses favorables.
signaler toutefois que de nombreuses demandes de
drfrencement adresses la CNIL nentrent pas dans le cadre
de la dcision de la CJUE (par exemples : les donnes concernent
des personnes morales et non des personnes physiques,
ou la demande porte sur le respect des droits dauteur).
Succs du dploiement de la
nouvelle version de la plainte
en ligne
La CNIL a mis en ligne une nouvelle version de son service de plaintes
en ligne en mars 2015 afin de mieux
rpondre aux besoins des internautes en
55
5 890
DEMANDES DE DROIT
DACCS INDIRECT
soit + 12 % par rapport 2014
8 784
9000
8000
6000
5000
4000
6 656
6 623
7000
5 242
4 305
7 376
5 890
4 640
3 754
3000
2000
1000
0
2013
Nombre de dossiers ouverts
INFO +
56
2014
Nombre de dossiers clturs
2015
Nombre de vrifications effectues
tousfichiers confondus
BILAN DACTIVIT
DGSI 137
DPSD 55
CEA 18
DGSE 51
FPR 51
AUTRES* 16
FICOBA 4 016
TAJ POLICE
1591
TAJ
GENDARMERIE
1591
SIS 234
SRT 617
8 784
VRIFICATIONS ONT T
MENES AU COURS DE
LANNE
soit + 32 % par rapport 2014
* FICOBA : Fichier des Comptes Bancaires et Assimils - TAJ police : Traitement dAntcdents Judiciaires (procdures
police) - TAJ gendarmerie : Traitement dAntcdents Judiciaires (procdure gendarmerie) - SRT : services de renseignement
territorial - SIS : Systme dInformation Schengen - FPR : Fichier des Personnes Recherches - CEA : Direction Centrale de
la Scurit du Commissariat lEnergie Atomique - DGSI : Direction Gnrale de la Scurit Intrieure - DGSE : Direction
Gnrale de la Scurit Extrieure - DPSD : Direction de la Protection de la Scurit de la Dfense - Autres : Fichier des
Courses et Jeux (FICOJ), Fichier des Interdits de Stades (FNIS), fichier relatif la gestion nationale des personnes dtenues
en tablissement pnitentiaire (GENESIS), Europol
TAJ
(procdures tablies
par la police
nationale)
TAJ
(procdures tablies
par la gendarmerie
nationale)
1740
1562
319
1069
348
139
1073
354
16%
15%
16%
42%
1%
<1%
67%
42 %
57
RETENIR
58
Le contentieux en matire
de droit daccs indirect :
la comptence du Conseil dtat
en premier et dernier ressort
pour certains traitements ou
partie de traitements intressant
la sret de ltat
La CNIL est rgulirement appele,
par les juridictions administratives, prsenter ses observations dans le cadre de
requtes introduites par les personnes
contestant, au terme de la procdure de
droit daccs indirect, le refus de communication des donnes les concernant
enregistres dans les fichiers relevant des
articles 41 et 42 de la loi Informatique et
Liberts. 38 recours ont ainsi t engags
pour la seule anne 2015, dont la plupart
portant sur les fichiers des services de
renseignement des ministres de lintrieur et de la dfense.
Lexercice du droit daccs indirect
nemporte pas, en effet, pour la personne
un droit communication des donnes
enregistres dans les fichiers vrifis par
lun des magistrats de la CNIL.
Les donnes ne peuvent tre ainsi
communiques que si ce dernier, en
accord avec le service gestionnaire,
estime que cette communication nest
pas de nature nuire la finalit du
fichier, la sret de lEtat, la dfense et
la scurit publique . Toute opposition
du service gestionnaire fait obstacle
38
40
35
30
30
25
20
15
10
10
6
5
1
0
2010
2011
2012
2013
2014
2015
Toutefois la loi n2015-912 du 24 juillet 2015 relative au renseignement attribue dsormais comptence au Conseil
dEtat pour connatre, en premier et dernier
ressort, des requtes relatives la mise
en uvre du droit daccs indirect pour
certains traitements ou partie de traitements intressant la sret de lEtat
(article L.331-4-1 du code de justice
administrative). Ces requtes seront traites par la formation spcialise institue,
par cette mme loi, pour connatre du
contentieux relatif la mise en uvre
des techniques de renseignement (articles
L.773-1 et L 773-8 du code de justice
administrative).
BILAN DACTIVIT
Le dcret n2015-1808 du 28
dcembre 2015 dfinit les traitements
concerns par ces nouvelles dispositions
(article R.841-2 du code de la scurit
intrieure). Sont notamment concerns :
les fichiers de la Direction Gnrale de la
Scurit Intrieure (DGSI) du ministre
de lintrieur, les fichiers de la Direction
Gnrale de la Scurit Extrieure
(DGSE), de la Direction de la Protection
de la Scurit de la Dfense (DPSD) et de
la Direction du Renseignement Militaire
(DRM) du ministre de la dfense.
59
60
POLICE / GENDARMERIE
Centralisation des procdures
tablies (procs-verbaux)
par les services de police
ou units de gendarmerie
pour chaque affaire
enregistre
JUSTICE
Interrogation par les services
gestionnaires du (des) procureurs(s)
de la Rpublique concerns(s) aux
fins dobtention :
de laccord de communication
(possibilit de refus si la
procdure nest pas pas
judiciairement close) ;
de la nature de la dcision
judiciaire intervenue et si
elle est favorable la personne
(acquittement, relaxe, non-lieu,
classement sans suite pour
absence dinfraction ou infraction
insuffisamment caractrise)
de leur accord ou opposition
concernant leffacement au
regard des conditions fixes
par larticle 230-8 du code
de procdure pnale
Personne inconnue
dlai moyen de
rponse de 2 mois
(*) imposant galement linterrogation du Procureur de la Rpublique concern pour obtention de son accord de communication
SUIVRE
BILAN DACTIVIT
HISTOIRES VCUES
Effacement des enregistrements
Monsieur M., 34 ans, dirigeant dune
socit de surveillance et de gardiennage,
titulaire depuis 2005 de lagrment prfectoral requis a adress la CNIL une
demande de droit daccs indirect aprs
avoir reu du CNAPS (Conseil National
des Activits Prives de Scurit), dsormais comptent en ce domaine, un courrier faisant tat dinfractions de nature
faire obstacle au renouvellement de
son agrment et, de fait, au maintien de
son activit. Au terme des vrifications
menes par la CNIL, les deux faits concerns ont t supprims, en accord avec le
procureur de la Rpublique, car il avait
bnfici de suites judiciaires favorables
(classement sans suite pour insuffisance
de charges).
La mre de Monsieur D., mineur, a
souhait alerter la CNIL sur la situation de
son fils aprs son interpellation et placement en garde vue alors quil tait passager dune moto, acquise rcemment par
le pre de lun de ses amis. Au terme des
vrifications, lenregistrement dont il faisait lobjet pour recel de bien provenant
dun vol a t supprim car il ntait
nullement mis en cause. En loccurrence,
le pre de son ami avait achet, son
insu, une moto vole.
61
Contrler et sanctionner
La CNIL a ralis 510 contrles en
2015. Cela reprsente 20 % daugmentation par rapport lactivit mene en 2014
(421 vrifications). Ces chiffres traduisent
la volont de la CNIL de sassurer de la
conformit relle des organismes avec les
rgles de protection des donnes personnelles, mais aussi dtendre le primtre
de ses investigations.
Sur ce total, la Commission a procd
155 contrles en ligne contre 58 en 2014,
sachant que ces contrles navaient commenc quen octobre 2014, cette facult
ayant t ouverte par la loi cette mme
anne. Ces contrles en ligne constituent
aujourdhui un outil dinvestigation part
entire, et permettent la CNIL dadapter ses modalits de contrle lunivers
numrique.
87 contrles ont permis la CNIL de
sassurer de la conformit des dispositifs
de vidoprotection et de vidosurveillance,
tant au regard de la finalit dclare de ces
dispositifs que de leur proportionnalit. Ces
contrles confirment que laction pdagogique de la CNIL (fiches pratiques, diffusion
PREMIERS BILANS
Le fonctionnement du Fichier des
Incidents de remboursement des
Crdits aux Particuliers (FICP)
Des contrles sur place ont t effectus en 2015 auprs de la Banque de
France, gestionnaire du Fichier des
Incidents de remboursement des Crdits
aux Particuliers (FICP), ainsi que des
contrles sur pices auprs de 14 tablissements bancaires (tablissements nationaux, rgionaux et banques en ligne).
Les rsultats de ces contrles se
sont rvls disparates : si la gestion du
fichier central par la Banque de France
apparat globalement satisfaisante,
a contrario, les contrles raliss auprs
des tablissements montaires et financiers ont montr quil nexistait pas de
pratique homogne concernant lutilisation de ce fichier. Ainsi, les modalits de
INFO +
62
501
CONTRLES
dont 155 contrles en ligne
87 contrles vido
BILAN DACTIVIT
FOCUS
63
64
Sweep Day,
quelle protection des donnes
personnelles sur les sites
pour les jeunes ?
Pour la troisime anne conscutive,
la CNIL sest associe aux 29 autorits membres du GPEN (Global Privacy
Enforcement Network - rseau international
dautorits en charge de la protection de la
vie prive) pour participer une opration
conjointe dite Sweep Day.
En 2015, lopration a port sur les sites
internet consults par les enfants et adolescents. La CNIL a examin en mai une
BILAN DACTIVIT
Le systme dinformation
Schengen II (SIS II)
DERNIRE MINUTE
EURODAC
De nombreuses thmatiques ont t abordes, telles que les sites de tirage dalbums
photo, de conseil de sant en ligne, de crdit en ligne, dadhsion des partis politiques,
de demande dactes dtat civil ou encore de participation volontaire des tudes cliniques.
Les vrifications ont port sur la pertinence des informations collectes, la scurit
des traitements de donnes, linformation des utilisateurs ainsi que la conformit
la rglementation relative aux cookies.
Le pouvoir de contrle en ligne a considrablement renforc les capacits de raction
de la CNIL lorsquelle constate des failles de scurit accessibles via internet,
dont certaines ont pu conduire ladoption de mises en demeure ou de sanctions,
voire linformation du procureur de la Rpublique.
28
Dernire
minute...
Le 9 fvrier 2016,
la Prsidente de la CNIL
a mis publiquement en
demeure FACEBOOK de
se conformer, dans un
dlai de trois mois,
la loi Informatique et
Liberts. Elle lui demande
notamment de collecter
loyalement les donnes
de navigation des
internautes ne disposant
pas de comptes FACEBOOK
et que les membres
puissent sopposer
la combinaison
de lensemble de leurs
donnes des fins
publicitaires.
155
CONTRLES
EN LIGNE ONT
T RALISS
EN 2015.
65
93
MISES EN DEMEURE
dont 12 publiques
10
RAPPORTS DE SANCTIONS
SANCTIONS FINANCIRES
dont 2 publiques
AVERTISSEMENTS
dont 2 publics
SYNDICAT : 1 MOTEUR DE RECHERCHE : 1
1% 1%
ORGANISME PUBLIC : 1
1%
SITE DE RENCONTRE : 8
9%
SPORT : 1
1%
COMMUNE : 21
23 %
SITE INTERNET
DINFORMATION : 20
PERSONNE PHYSIQUE : 2
22 %
2%
MINISTRE : 4
COMMERCE EN LIGNE : 13
4%
SOCIT DE SERVICE
ET ACTIVIT DIVERSES : 13
14 %
COMMERCE : 4
4%
14 %
ASSOCIATION/FONDATION : 4
4%
INFO +
66
Le recours une
mise en demeure
conduit dans la grande
majorit des cas une
mise en conformit
et donc une clture
du dossier
La mise en demeure
La prsidente de la CNIL peut mettre en demeure un responsable de traitement qui ne respecte pas
les obligations dcoulant de la loi Informatique et Liberts de faire cesser le manquement constat.
Elle fixe un dlai pour cette mise en conformit. Une mise en demeure nest pas une sanction. Aucune suite
nest donne cette procdure si la socit se conforme la loi dans le dlai imparti.
Dans la trs grande majorit des cas, les mises en demeure donnent lieu une mise en conformit et donc
une clture de la procdure. Dans le cas contraire, la formation restreinte peut prononcer des sanctions.
La prsidente de la CNIL peut demander au bureau (compos de lui-mme et des deux vice-prsident) de rendre
publique la mise en demeure, notamment en raison de la gravit des manquements ou du nombre important de
personnes concernes. La clture fait lobjet de la mme mesure de publicit que celle de la mise en demeure.
FOCUS
BILAN DACTIVIT
67
RETENIR
Vidosurveillance au travail:
confirmation de linterprtation de la CNIL
RETENIR
68
BILAN DACTIVIT
Anticiper et innover
Dans le cadre de ses activits dinnovation et de prospective, la CNIL souhaite anticiper
de nouveaux usages, tendances ou technologies mergents pour alimenter les dbats de
socit sur lthique des donnes. Cette approche sest en particulier incarne en 2015
dans le troisime Cahier Innovation & Prospective Les donnes, muses et frontires de
la cration, ainsi que dans lanimation des travaux du Comit de la Prospective largi,
autour du thme des donnes dans la socit et lconomie du partage.
mergence de nouveaux
modles conomiques
La transformation prcoce des marchs culturels constitue un formidable
laboratoire des modles daffaires, et vient
interroger laffirmation faisant des donnes
le ptrole de lconomie numrique .
Les donnes personnelles des utilisateurs,
mobilises comme monnaie dchange,
ont pour fonction premire de contribuer
la personnalisation de lexprience au
bnfice de lutilisateur. Elles peuvent
69
INFO +
70
INFO +
BILAN DACTIVIT
La recommandation
au cur des stratgies
Recommander permet aux diffuseurs
de contenus culturels dattirer de nouveaux clients, de les fidliser et doptimiser leurs revenus. La recommandation est
peu transparente et comprhensible pour
lutilisateur du fait quelle peut techniquement combiner des outils et approches
trs diffrentes: analyse dexperts (par
recommandation humaine), analyse automatique des contenus (par les mtadonnes), analyse du profil de lutilisateur et
de son rseau, filtrage collaboratif.
Si les utilisateurs acceptent la collecte
de leurs donnes et sont prts payer
pour des services efficaces et sans couture de recommandation, ils souhaitent
la fois garder le contrle et sexposer
parfois des frictions, cest--dire des
moments o ils choisissent de dcouvrir
des contenus culturels en dehors de leur
bulle de filtres (selon lexpression dEli
Pariser). Cette volont de transparence
des utilisateurs amne certains industriels
comme Netflix expliciter leurs critres
de recommandations.
La prescription
ntant pas incarne, le consommateur na en
retour aucune
possibilit de la
recontextualiser
et se contente
trop souvent
de la subir.
La traabilit
fonctionne sens
unique.
Olivier Ertzscheid,
matre de confrences
en sciences de linformation
luniversit de Nantes
71
Vers la personnalisation
de lexprience
Dans ce nouveau paysage, la personnalisation de lexprience devient
plus intime, lintrication entre luvre
et lexprience dutilisation plus grande,
la frontire entre cration par lauteur et
contenus gnrs par et pour lutilisateur
plus floue.
Certaines tendances lourdes, transversales aux diffrents secteurs, dessinent les contours de ce qui pourrait
advenir dans les prochaines annes.
La prise en compte des caractristiques du contexte (context awareness)
permettra dadapter le contenu des
uvres aux utilisateurs, de manire
invisible. La recommandation passera
probablement par lanalyse en temps
rel des sentiments de lutilisateur via
les objets connects. Les technologies
immersives et les nouvelles interfaces
homme-machine rendront possibles
des nouvelles formes de narration et
duvres, plus interactives.
En outre, la combinaison de la donne
et du matriel (hardware) bouleverse la
LE COMIT
DE LA PROSPECTIVE
2015 a aussi t loccasion pour la
CNIL de renouveler la composition et le
format de son Comit de la prospective.
Dsormais largi 15 membres, il a
vocation enrichir la rflexion de linstitution sur les enjeux socitaux et thique
du numrique afin de mieux cerner leurs
impacts sur les droits et liberts.
En runissant des expertises et des
expriences plurielles, le comit constitue un espace privilgi dchanges et de
rflexion. En 2016, il tudiera notamment la place des donnes personnelles
dans la socit et lconomie du partage.
Il est plac sous la prsidence
dIsabelle FALQUE-PIERROTIN.
INFO +
72
EXPERTS EXTRIEURS
BILAN DACTIVIT
La rgulation internationale,
un lment indispensable
de la protection des donnes
lre numrique
2015, ANNE PAPILLON
Le rapport annuel de la CNIL qualifiait lanne 2014, sagissant du projet
de rglement europen, de chrysalide,
lanne 2015 est sans aucun doute celle
du papillon. En effet, la rforme sur la
protection des donnes a t adopte au
mois de dcembre, permettant dadapter
le droit europen, de manire harmonise, lunivers numrique.
Cet aboutissement a t le fruit dun
travail intense men par les trois institutions de lUnion (la Commission, le
Parlement et le Conseil de lUE) tout au
long de lanne 2015. Un accord a t
conclu sur le rglement en juin, puis en
parallle du trilogue sur le rglement,
un autre accord a t trouv en octobre
sur le projet de Directive Police Justice.
Le second semestre a abouti, dans des
dlais contraints, un accord global et
commun aux trois institutions des deux
textes, scellant ainsi le nouveau cadre
juridique de la protection des donnes
de lUnion.
Cette rforme va bien au-del de la
Directive actuelle puisque les deux textes
adopts couvrent non seulement les traitements du secteur priv, ceux du secteur
public mais galement les traitements
mis en uvre dans le cadre de la coopration policire et judicaire.
Il reste dsormais une dernire tape
formelle franchir : celle de ladoption
en plnire du Parlement europen et
en Conseil des ministres de ce paquet
protection des donnes prvu pour le
printemps 2016.
LEurope naura
de crdibilit et de
poids dans la dfense
de ses valeurs que
si elle avance unie
et coordonne.
73
74
LE SUIVI ET LA FINALISATION
DU RGLEMENT EUROPEN
Le Rglement
Aprs plus de quatre ans de ngociations, lanne 2015 a t marque
par un double accord politique : dune
part, celui obtenu au Conseil de lUE en
juin 2015 qui a permis douvrir la phase
de ngociations ou trilogue entre
les trois institutions europennes (la
Commission, le Parlement et le Conseil
de lUE) et dautre part, laboutissement
de ces ngociations avec un accord sur
le texte en dcembre 2015.
Si ce dernier doit encore tre formellement adopt par les institutions
europennes, cette approbation reprsente une tape essentielle et attendue
par tous les acteurs. En effet, le texte
tel quadopt en dcembre, prvoit,
notamment:
Pour le citoyen, un renforcement
des droits existants, notamment en lui
permettant de disposer dinformations
complmentaires sur le traitement de
ses donnes mais galement de les obtenir sous une forme claire, accessible et
comprhensible. Le droit loubli est
confort et un nouveau droit, le droit la
portabilit, est prvu, rendant ainsi plus
effective la matrise de ses donnes par
la personne. Les mineurs font galement
lobjet dune protection particulire.
Pour les entreprises, une simplification des formalits, la possibilit
dun interlocuteur unique pour toutes
les autorits de protection des donnes
europennes et dune mise disposition
dune bote outils de conformit dont
certains seront nouveaux (ex : code de
conduite, certification). Ces outils pourront tre moduls en fonction du risque
sur les droits et liberts des personnes.
(ex : tenue dun registre, consultation
des autorits de protection, notification
des failles de scurit).
Pour les autorits de protection,
une affirmation de leurs comptences
ds lors quil existe un tablissement
sur leur territoire ou que leurs citoyens
sont affects par le traitement mais ga-
BILAN DACTIVIT
PARLEMENT
CONSEIL DE LUE
TRILOGUE
Publication du projet
de rglement
2012
Vote du rapport
2013
Accord
juin 2015
Accord
dcembre 2015
ADOPTION
2016
LA DIRECTIVE
Lanne 2015 a t marque par
laboutissement de la phase de ngociations ou trilogue 1 entre les trois institutions europennes (la Commission,
le Parlement et le Conseil de lUE) en
dcembre 2015 sur le texte de directive
relative la protection des personnes physiques lgard du traitement des donnes caractre personnel par les autorits
comptentes des fins de prvention et
de dtection des infractions pnales, den-
1 Pour rappel, le Parlement europen a adopt sa position en premire lecture le 12 mars 2014. Le Conseil a,
de son ct, dgag une orientation gnrale le 8 octobre 15. Cinq trilogues ont ensuite eu lieu doctobre au 15
dcembre 2015. Ils ont abouti ladoption du texte du trilogue le 16 dcembre 2015 par le Comit des reprsentants
permanents des Etats membres au Conseil et au vote du texte par la Commission liberts civiles,
justice et affaires intrieures du Parlement europen le 17 dcembre 2015.
75
76
Le G29 a insist
pour que les
exceptions aux
principes justifies
par les spcificits
rpressives
demeurent
dinterprtation
stricte.
BILAN DACTIVIT
INFO +
77
INFO +
78
LAFAPDP
En 2015, 48 pays membres de la
Francophonie sur 80 disposent dune loi
et dune autorit de protection des donnes personnelles. La protection des donnes personnelles doit encore progresser
dans de nombreux pays. Ceux-ci peuvent
sinspirer des textes nationaux et pratiques adopts par les pays reprsents
au sein de lAFAPDP, et des textes rgionaux en vigueur en Afrique et en Europe.
LAFAPDP se flicite de la coopration
mise en place avec les autorits de pro-
80
Data brokers :
le ptrole et liceberg
Les courtiers de donnes ne constituent pas une catgorie juridique clairement identifie
mais au regard de limportance quelle commence revtir, elle appelle lattention de la
CNIL. Par courtiers, on entend gnralement des professionnels oprant sur un march
secondaire des donnes. Cette dfinition recouvre plusieurs activits qui toutes tendent
faciliter la circulation des donnes et leur enrichissement.
LE PTROLE
Depuis quelques annes, les donnes
font figure de ptrole du numrique ,
alimentant le moteur de la nouvelle conomie. Pour autant, le commerce des
donnes nest pas uniformment considr et fait lobjet de courants dopinion
contradictoires. Cette opposition sexprime clairement dans laffrontement
des tenants dune proprit de la donne et de ceux qui considrent la donne
comme le support dun droit personnel.
Dans son tude annuelle de 2014, le
Conseil dEtat a mis en vidence cette
opposition pour carter la notion de
proprit et conforter lapproche europenne en recommandant ladoption
dun droit-libert reconnu en Allemagne
par la Cour constitutionnelle. Ce droit
lautodtermination informationnelle
se traduit par laffirmation du droit de
toute personne de dcider et de contrler
les usages qui sont faits des donnes
caractre personnel la concernant. Repris
BILAN DACTIVIT
pect des droits des personnes concernes, outre le cas chant, le rgime de
formalit applicable.
La loi Informatique et Liberts permet sans conteste la circulation des donnes entre destinataires et lapparition de
nouveaux responsables de traitements,
eux-mmes soumis en cascade des obligations particulires ou communes avec
le responsable initial. Le rglement sur
la protection des donnes personnelles
comporte galement des dispositions qui
concernent les courtiers, notamment par
le fait que le courtage vise dans une large
mesure permettre la cration de profils
destins automatiser des actions.
LICEBERG
Le cadre juridique existant ne reflte
cependant pas la ralit de la situation
du courtage car ce hub des donnes
revt les caractres de liceberg ; sa partie merge nest pas la plus importante.
Le courtage de donnes vise lagrgation des donnes puis leur redistribution pour des finalits qui peuvent
tre varies, mais qui, pour lheure, se
concentrent sur le ciblage commercial
(marketing direct, publicit, amlioration
de lexprience client), la vrification de
caractristiques (honorabilit, solvabilit, identit) des personnes et la lutte
contre la fraude. Les donnes collectes
le sont partir de sources qui peuvent
varier dans la pratique, notamment internationale, de lexploitation de sources
ouvertes des transferts de donnes
81
82
ou un autre ont un lien avec lautomobile et son conducteur. Que lon songe la
maintenance, la commercialisation de
biens ou de services en lien avec lauto ou
encore aux villes intelligentes, la voiture
connecte va devenir une plateforme de
donnes incontournable.
BILAN DACTIVIT
Les travaux
du pack prendront
en compte le
rglement europen
dont ladoption
est prvue en 2018.
QUESTION DE MTHODE
Entre enjeux industriels, dinnovation
et de protection de la libert daller et
venir, le vhicule connect doit bnficier
dune approche partenariale sans laisser
personne sur le bord de la route. Pour
83
84
La captation
permanente
de donnes
dans notre
environnement
quotidien est une
vraie nouveaut.
BILAN DACTIVIT
FOCUS
85
86
INFO +
La rparation
et laugmentation
de lhumain par
la machine
Limitation du vivant
et les interactions
affectives et sociales :
vers de vritables interactions
humains-machines respectueuses
des droits des personnes ?
Autonomie et capacits
dcisionnelles : jusqu
quel point les technologies
doivent-elles prendre des
dcisions notre place ?
BILAN DACTIVIT
BILAN FINANCIER
ET ORGANISATIONNEL
Les membres de la CNIL
Les ressources humaines et financires
88
Les membres
de la CNIL
LES MEMBRES
(COMMISSAIRES)
Jean-Franois CARREZ,
LE BUREAU
PRSIDENTE
Isabelle FALQUE-PIERROTIN,
conseiller dtat
Membre de la CNIL depuis 2004
et vice-prsidente de 2009 2011,
Isabelle Falque-Pierrotin est prsidente
de la CNIL depuis le 21 septembre 2011.
VICE-PRSIDENTE DLGUE
Marie-France MAZARS,
VICE-PRSIDENT
Eric PERES,
Dominique CASTERA,
Nicolas COLIN,
Loc HERVE,
snateur de la Haute-Savoie
Secteur : sant
Loic Herv est membre de la CNIL
depuis septembre 2014.
Laurence DUMONT,
dput du Calvados
Secteurs : social et logement
Laurence Dumont est membre
de la CNIL depuis octobre 2012.
Jolle FARCHY,
Philippe GOSSELIN,
dput de la Manche
Secteur : collectivits territoriales,
vidoprotection et tlservices
Philippe Gosselin est membre de la CNIL
depuis fvrier 2015.
Philippe LEMOINE,
Marie-Hlne MITJAVILE,
conseiller dtat
Secteur : international
Marie-Hlne Mitjavile est membre
de la CNIL depuis fvrier 2009.
Alexandre LINDEN,
Franois PELLEGRINI,
Maurice RONAI,
Jean-Luc VIVET,
Gatan GORCE,
snateur de la Nivre
Secteur : justice, eurojust
Gatan Gorce est membre de la CNIL
depuis dcembre 2011.
COMMISSAIRES DU GOUVERNEMENT
Jean-Alexandre SILVY,
Catherine POZZO DI BORGO, adjoint
BILAN DACTIVIT
71
64
89
90
AUTORISATIONS
DENGAGEMENT
CRDITS 2015
CRDITS
DE PAIEMENT
Budget LFI
Titre 2
Hors Titre 2
22 907 204
13 156 566
9 750 638
18 817 431
13 156 566
5 660 865
Budget disponible
Titre 2
Hors Titre 2
22 061 370
13 090 783
8 970 587
18 298 779
13 090 783
5 207 996
Budget Consomm
Titre 2
Hors Titre 2
21 407 908
12 716 435
8 691 473
17 178 189
12 716 435
4 461 754
Direction
de la Conformit
(DC)
Direction
de la protection
des droits et
des sanctions
(DPDS)
Direction
des technologies
et de linnovation
(DTI)
Direction
des relations avec les
publics et de
la recherche
(DRPR)
Direction
administrative
et financire
(DAF)
Conseil juridique
et Relations
institutionnelles
Service du secteur
rgalien et des
collectivits
territoriales
Service
des plaintes
Service
de lexpertise
technologique
Service de
linformation et de
la documentation
Service
des ressources
humaines
Service de la
communication
externe et interne
Service de la sant
Service
des contrles
Service de
linformatique interne
Qualit
performance
et risques
Service
du secteur
conomique
Service des
sanctions
Ple innovation,
tudes
et prospective
Service des
moyens gnraux
Service droit
daccs indirect
Service des
correspondants
Informatique et
Liberts
Ple en charge
de la gestion
des formalits
pralables
Ple BCR
Ple labels
Ple ducation
au numrique
5
ANNEXES
92
THME
MANQUEMENTS PRINCIPAUX
DCISION
ADOPTE
12/02/2015
PERSONNE
PHYSIQUE
Prospection
politique
collecte et traitement
illicite de donnes
Avertissement
non public
12/02/2015
PERSONNE
PHYSIQUE
Prospection
politique
collecte et traitement
illicite de donnes
Avertissement
non public
12/02/2015
THTRE
NATIONAL
DE BRETAGNE*
Prospection
politique
Avertissement
public
09/04/2015
COMMUNE
Gestion des
inscriptions scolaires
donnes inadquates,
non pertinentes et excessives,
dfaut d'information
Avertissement
non public
18/05/2015
SOCIT
D'ANALYSE DES
COMMANDES DES
CONSOMMATEURS
SUR SITE
E-COMMERCE
Sanction
pcuniaire
non publique
01/06/2015
PRISMA MEDIA
Prospection
Sanction
pcuniaire
publique de
15 000 euros
18/06/2015
SOCIT VENTE
D'ABONNEMENTS
EN LIGNE
dfaut de scurit
des donnes
Avertissement
non public
05/11/2015
OPTICAL CENTER
dfaut de scurit et de
confidentialit des donnes,
y compris celles gres
par un sous-traitant
Sanction
pcuniaire
publique de
50 000 euros
10/12/2015
BANQUE
dfaut de scurit et de
confidentialit des donnes
Avertissement
non public
21/12/2015
PROFILS
SNIORS
Avertissement
public
DATE
BILAN DACTIVIT
THMATIQUES
MANQUEMENTS PRINCIPAUX
Fichier d'exclusion
11/09/2015
MOTEUR DE
RECHERCHE GOOGLE
Drfrencement
BOULANGER
Commentaires
excessifs,
cookies
06/11/2015
MINISTRE DE LA
JUSTICE ET MINISTRE
DE L'INTRIEUR
Demande daccs
des fichiers de
police et de justice
09/09/2015
8 SITES DE
RENCONTRES :
TOODATE, SAMADHI,
NESS INETRACTIVE,
GEB ADOPTAGUY,
PHOENIX CORP, MEETIC,
LT SERVICES, 2 L
MULTIMEDIA
Rseaux sociaux
de rencontres
Non
clture
Non
cltures
Demandes
d'tat civil en ligne
COMMUNE
Dpt de cookies
PERSONNE PHYSIQUE
DU MONDE POLITIQUE
Prospection
politique
PERSONNE PHYSIQUE
RESPONSABLE D'UN
BLOG
Droit d'opposition
sur des informations
figurant sur un blog
93
94
THMATIQUES
MANQUEMENTS PRINCIPAUX
Service de photos
en ligne
SOCITS RALISANT
DES ESSAIS CLINIQUES
tudes cliniques
SITES DE SUIVI
DE GROSSESSE
Suivi de grossesse
MINISTRES
Fichier de l'Etat
TABLISSEMENT
PUBLIC
SITES D'ACTUALIT
Cookies presse
SITES D'INFORMATIONS
THMATIQUES DIVERSES
Cookies
ASSOCIATIONS
Prospection,
vidosurveillance,
commentaire de dcisions
de justice
BILAN DACTIVIT
THMATIQUES
MANQUEMENTS PRINCIPAUX
Fichier dexclusion,
scannettes,
vidosurveillance,
vidoprotection,
golocalisation,
surveillance
permanente
des salaris,
enregistrement
des conversations
tlphoniques
COMMERCES
EN LIGNE
Fichier dexclusion,
prospection
commerciale,
cookies,
donnes bancaires
ASSURANCES
SOCITS DE
RECOUVREMENT
Recouvrement
de crance scurit
SYNDICAT
NIR
PLATEFORME
TLPHONIQUE
D'APPELS
Suivi dactivit
SOCIT DE SCURIT
Droit daccs
dun salari
SOCITS
DE SERVICE
95
rapport dactivit
2015
COMMISSION NATIONALE DE
LINFORMATIQUE ET DES LIBERTS
PROTGER LES DONNES PERSONNELLES,
ACCOMPAGNER LINNOVATION,
PRSERVER LES LIBERTS INDIVIDUELLES
Diffusion
Direction de linformation lgale
et administrative
La Documentation franaise
Tl. 01 40 15 70 10
www.ladocumentationfranaise.fr
Commission nationale de
linformatique et des liberts
8, rue Vivienne
75083 Paris Cedex 02
Tl. 01 53 73 22 22
Fax 01 53 73 22 00
ISBN: 978-2-11-010351-2
DF: 5HC42290
Prix : 15e
www.cnil.fr
La
documentation
Franaise