En 2018, le nombre de plaintes a augmenté de 32 % par rapport à l’année précédente. La commission alerte sur de nombreux cas de mésusage de la vidéosurveillance et de la géolocalisation.
Les Français dans leur ensemble et les salariés en particulier sont de plus en plus sensibles à l’exploitation des données personnelles. La Commission nationale de l’informatique et des libertés (Cnil) a enregistré, pour l’année passée, un nombre record de 11 077 plaintes. Ce qui représente une croissance historique de 32 % par rapport à l’année précédente, elle-même déjà en progression de 8 %. Selon la Cnil, qui a présenté son rapport annuel le 15 avril dernier, il s’agit de l’un des effets du RGPD. L’entrée en vigueur du règlement européen, en mai 2018, a bénéficié d’une médiatisation importante et il en découle une plus grande sensibilité aux questions de protection des données.« Nos concitoyens ont pris conscience qu’ils avaient des droits », souligne la nouvelle présidente de la Cnil, Marie-Laure Denis. Sans préjuger de l’impact du RGPD, le scandale lié à l’affaire Cambridge Analytica – Facebook a également semé le trouble dans l’opinion publique.
Le premier motif des plaintes déposées auprès de la Cnil (36 %) concerne la diffusion de données sur Internet, le second motif des sollicitations marketing de type Spam (21 %) et le troisième motif concerne plus particulièrement le monde de l’entreprise. En effet, 16,5 % des plaintes relèvent du domaine des ressources humaines (1 828 plaintes en 2018 contre 1 338 en 2017). « Beaucoup de plaintes concernent la vidéosurveillance excessive ou la géolocalisation, leur nombre est en augmentation constante », souligne Xavier Delporte, chef du service des plaintes à la Cnil. La vidéosurveillance est de fait l’outil dont l’usage est le plus contesté par les employés qui saisissent la Cnil. Ces plaintes ont notamment conduit la commission à adresser un courrier à la ministre du Travail en décembre 2018, l’alertant sur les risques qu’induisent le visionnage à distance des images issues de caméras de surveillance (via le smartphone de l’employeur) et le développement de l’enregistrement du son associé aux images. « Ces pratiques, en cas de mésusage, peuvent conduire à placer les personnes sous une surveillance permanente considérée comme disproportionnée au regard des règles de protection des données personnelles, mais aussi potentiellement constitutive de harcèlement moral », souligne l’organisme dans son rapport annuel.
Un sujet sensible sachant que bon nombre de conducteurs du transport de voyageurs peuvent être géolocalisés, tandis que les mêmes, ou d’autres salariés, peuvent être filmés dans le cadre de leur fonction. « Ces plaintes sont surtout relatives à un manque d’information ou de transparence des entreprises vis-à-vis de leurs salariés. Les demandes proviennent des salariés eux-mêmes, de syndicats ou d’inspecteurs de travail, surtout au sein d’entreprises où l’ambiance sociale est difficile. De plus en plus de plaintes concernent l’usage du son ou de la vidéo. Par exemple, une entreprise va pouvoir s’en servir pour reprocher à un salarié de ne pas avoir souri à un client », confie Xavier Delporte. Pour sensibiliser les entreprises, la Cnil propose une fiche pratique sur la géolocalisation des véhicules, disponible sur son site Internet. Pour autant, il sera impossible de connaître le nombre de plaintes concernant le seul secteur du transport. Sur cet aspect-là, la Cnil applique la protection des données à la lettre!
L’entrée en vigueur du RGPD a également imposé à tous les organismes qui traitent des données personnelles de mettre en place des mesures de prévention pour les protections de ces données (par exemple le vol de base de données clients comportant des adresses personnelles). La Cnil a reçu 1 170 notifications en 2018, provenant en grande majorité d’atteintes à la confidentialité des données (concernant plusieurs dizaines de millions de personnes). Christophe Vivent, expert technologique, précise que dans 50 % des cas, ces violations ont pour cause un acte de malveillance externe. La moitié des cas concernent une cyberattaque de type infection par un ransomware ou attaque contre un serveur, l’autre concerne des vols physiques, par exemple d’ordinateurs. Près de deux violations sur dix (17 %), proviennent d’une action interne accidentelle, souvent lors d’une mise à jour d’un logiciel. Face à ces situations, la Cnil remplit principalement un rôle d’accompagnement, et en particulier de conseil.
Début 2019, deux expérimentations ont alerté les services de la Cnil: la surveillance biométrique lors du carnaval de Nice, et l’installation de capteurs sonores à Saint-Étienne. La ville de Nice a profité de son célèbre carnaval pour mener un test de reconnaissance faciale pendant deux jours, en février 2019. Il s’agissait de tester l’efficacité d’un dispositif d’intelligence artificielle, relié à des caméras de vidéoprotection. Le but? Reconnaître dans une foule, à partir de leur photo, des personnes dites « d’intérêt »: enfants égarés, personnes âgées vulnérables, ou des individus recherchés. L’expérimentation avait lieu dans un périmètre dédié, en l’espèce l’une des files d’attente menant à l’enceinte du carnaval. Consultée, la Cnil avait donné son autorisation. Lors de la présentation de son bilan annuel, le 15 avril dernier, Marie-Laure Denis, la présidente de la Cnil est revenue sur cette décision.« Le rôle de la Cnil consiste à concilier les enjeux de sécurité publique et la garantie d’une protection des données. Nous avons été effectivement consultés sur Nice et nous avions indiqué que ce dispositif pouvait s’envisager, à plusieurs conditions. Les personnes devaient être informées du dispositif, ce qui a été fait, et les personnes réticentes à subir ce traitement devaient pouvoir accéder au carnaval par d’autres files d’entrées, ce qui a également été le cas. Nous avions également demandé des garanties vis-à-vis de la conservation des données. Enfin, le contrôle ne devait pas avoir une finalité sécuritaire immédiate avec des arrestations », a-t-elle exposé.
Autre expérimentation et autre première en France. Depuis le début du mois de mars, la ville de Saint-Étienne teste un dispositif de cinquante capteurs sonores disséminés dans un quartier de 7 000 habitants. Les capteurs, de la taille d’une pièce de 2 euros, sont installés dans des lampadaires ou des panneaux de signalisation. Ils sont capables de détecter certains bruits alarmants, comme celui d’un verre qui se brise ou un coup de feu. Une alerte automatique est alors envoyée à la police. Cette expérimentation doit durer six mois. Sur ce projet, Marie-Laure Denis indique que la Cnil n’a pas été consultée au préalable: « Nous avons donc diligenté un contrôle pour nous rendre compte de ce qu’il en était. À notre connaissance, les conversations ne sont pas enregistrées car l’expérimentation se focalise sur les sons inhabituels. » Comme il n’y a pas de captations de données à caractère personnel, la Cnil ne s’est pas opposée à l’expérimentation.