Le rapport annuel de la CNIL est un baromètre des pratiques en matière de protection des utilisateurs et de mise en œuvre des actions pour la conformité avec le RGPD. La prise de conscience du public augmente plus vite que la mise en conformité des entreprises.
D’après les chiffres consignés dans le dernier rapport d’activité de la CNIL, les utilisateurs sont de plus en plus conscients de leurs droits en matière de protection de la vie privée et des données personnelles. L’organisme public a constaté une augmentation substantielle des plaintes qui lui ont été adressées. L’année 2019 en chiffres, c’est notamment plus de 14 000 plaintes, soit plus de 27 % d’augmentation par rapport à l’année précédente, dont 20 % de plaintes transfrontalières, 145 000 appels, et 17 300 requêtes électroniques sur le site de la CNIL, soit 12 % d’augmentation sur la même période.
Les abus des spams, les sollicitations commerciales, et la vente de listes de contacts par les entreprises ont alerté 11 % des internautes qui sont devenus sensibles à la question de la protection des données, affirme le rapport. Le secteur de l’ad tech est le premier pointé du doigt, d’où le lancement d’un projet de recommandation sur les cookies et les traceurs, visant à préciser les modalités opérationnelles de mise en œuvre des nouvelles exigences applicables au recueil du consentement des utilisateurs. La recommandation devrait être publiée dans le courant de cette année.
Les nominations de DPO augmentent substantiellement
Lentement mais doucement, comme l’avait prévu le législateur en accordant aux entreprises un délai de mise aux normes, le respect des clauses du RGPD se met en place. Durant l’année 2019, la CNIL a comptabilisé 65 000 déclarations de délégués à la protection des données (DPO), soit une augmentation de 31 % par rapport à 2018. Du côté des acteurs de l’internet, les sanctions infligées ont tendance à augmenter en termes financiers.
La CNIL rappelle qu’elle a activé les nouveaux seuils de sanction prévus par le RGPD, en citant la sanction infligée à Google en janvier 2019, et qui reste à ce jour la sanction la plus importante en Europe décidée par une autorité de protection de données. Cette sanction de 50 millions d’euros a été infligée à Google, à la suite d’une plainte déposée par les associations None Of Your Business et La Quadrature du Net, accusant Google de collecte et de traitement abusifs de données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité. D’autres sanctions à l’encontre d’entreprises de tailles variables, dans différents secteurs et sur différents sujets, ont été prises en 2019, pour un montant total d’un peu plus de 51 millions d’euros.