La Cnil a publié hier son bilan de l’année 2023 dans un 44e rapport annuel. Sensibilisation plus accrue des particuliers et collectivités, évolution des pratiques au sein des collectivités, désignation de délégués à la protection des données : où en sommes-nous cinq ans après l’entrée en application du RGPD ? 

Hausse du nombre de plaintes

Le nombre de plaintes reçues par la Cnil a atteint un record en 2023 avec 16 433 plaintes enregistrées et déposées par le grand public, un chiffre en hausse de 35 % par rapport à 2022. Plus d'un tiers de ces plaintes (35 %) sont liées à l'utilisation d'Internet et près d'une sur cinq au travail (18 %). Le reste des plaintes concerne des relations commerciales (18 %), mais aussi d’autres secteurs comme les administrations publiques (4 %) ou encore la santé (3 %). 

« Les plaintes adressées à la CNIL sont souvent liées aux problématiques rencontrées par les personnes dans leur quotidien numérique », peut-on lire dans le rapport. Par exemple, plus de 2 600 plaintes concernent le droit d’accès et plus de 2 500 plaintes liées au droit à l’effacement.

La Cnil a également reçu plus de 1 000 plaintes en 2023 concernant la mise en œuvre de dispositifs de vidéoprotection ou vidéosurveillance sans une information correcte des personnes ou respect de leur vie privée. 

Violations de données et mises en demeure de communes 

Au total, 4 668 violations de données ont été signalées à la Cnil, dont plus de la moitié concernait des actes de piratages via rançongiciel ou hameçonnage, selon son bilan annuel rendu public mardi. Depuis l’entrée en application du RGPD, 17 483 violations de données ont été adressées à la Cnil. « Même si les entreprises, administrations, collectivités et autres organismes sont de plus en plus sensibilisés et […] protégés, les attaques informatiques demeurent nombreuses », soulignent les auteurs du rapport.

En parallèle, 42 sanctions ont été prononcées en 2023 (soit deux fois plus qu’en 2022), dont 36 amendes pour un total de près de 90 milliosn d'euros. « En complément, la présidente de la Cnil a prononcé 168 mises en demeure, ainsi que 33 rappels aux obligations légales, contre des organismes ayant commis des manquements à la réglementation sur la protection des données ».

Il est intéressant de noter que des contrôles ont été réalisés l’année dernière auprès de sept communes qui utilisaient « différents logiciels d’analyse d’images associés aux caméras ». « Ces logiciels proposent des fonctionnalités qui permettent de détecter différents événements tels que le non-respect par un véhicule du sens de circulation, le franchissement ou la présence d’une personne dans une zone interdite, ou encore le dépôt d’ordures sauvages » , peut-on lire dans le rapport. Certains logiciels disposent également d’une fonctionnalité Lapi (lecture automatisée de plaques d’immatriculation) afin de réaliser des comptages statistiques. 

Or ces dispositifs ont pu être utilisé « par les collectivités territoriales pour la détection et la poursuite d’infractions (par exemple, au Code de la route) ou pour répondre aux éventuelles réquisitions des forces de l’ordre », ce qui est illégal. La Cnil rappelle que « seuls les services de police nationale (et non les collectivités territoriales) peuvent mettre en œuvre de tels dispositifs pour des finalités de police administrative et judiciaire ». L’autorité a ainsi prononcé 39 mises en demeure contre les communes concernées.

Une série de contrôles en lien avec la sécurité des sites web a également été menée notamment « sur des sites web des régions, communes ou communautés de communes ». À l’issue de ces contrôles, 39 mises en demeure ont été adressées à des organismes qui n’avaient pas mis en place le protocole de communication sécurisé HTTPS (obligatoire depuis 2017) sur leur site web.

Délégué à la protection des données (DPD) 

Selon ce dernier bilan, 34 250 délégués à la protection des données (DPD) ont été désignés auprès de la Cnil par 96 097 organismes publics et privés. En 2021, le nombre de DPD en France était de 28 810. Rappelons que le RGPD impose notamment « à toute collectivité territoriale, quelle que soit sa taille, de désigner un délégué à la protection des données (DPD) qui sera le pilote de sa mise en conformité ». 

La CNIL indique, au regard des résultats de 2023, que « les questions des moyens mis à disposition des DPD et de leur temps de formation deviennent essentielles ». En janvier dernier, la Cnil a mené une évaluation des moyens accordés aux délégués à la protection des données (DPD) qui confirme l’existence de disparités de moyens entre les DPD « de grandes entreprises et ceux des petites collectivités ». Les collectivités peuvent bénéficier d’outils mis à disposition par la Cnil notamment dans un guide qui regroupe les principales connaissances utiles et bonnes pratiques pour les collectivités et leurs DPD (consulter le guide). 

Consulter le rapport de la Cnil. 

Suivez Maire info sur Twitter : @Maireinfo2