le 22/05/2019

La liste des contrôles CNIL réalisés en 2018 est disponible

Liste des contrôles réalisés par la CNIL

La Commission nationale de l’informatique et des libertés (ci-après « CNIL ») a publié l’ensemble des jeux de données relatifs aux contrôles réalisés en 2018 par ses agents.

Durant cette période, la CNIL a réalisé 310 contrôles dont :

  • 204 contrôles sur place (dont 20 contrôles portant sur des dispositifs vidéo) ;
  • 51 contrôles en ligne ;
  • 51 contrôles sur pièces ;
  • 4 auditions.

Ces 310 contrôles ont entrainé 49 mises en demeure (15,8 % du total) pour 11 sanctions (3,5 % du total). Dans l’immense majorité des cas, la simple intervention de la CNIL se traduit par une mise en conformité de l’organisme.

Les 11 sanctions sont réparties comme suit :

  • 10 sanctions pécuniaires (dont 9 publiques et 7 qui concernaient des atteintes à la sécurité des données personnelles) ;
  • 1 avertissement non public ;

Pour ce qui est des acteurs publics et parapublics, ils représentent 84 des 310 contrôles (soit 27 % du total des contrôles réalisés par la CNIL) sous les catégories suivantes :

  • finances publiques ;
  • santé/social ;
  • régalien ;
  • collectivités territoriales ;
  • éducation ;
  • associatif ;
  • culture ;
  • police/justice/sécurité.

La nature des contrôles à l’encontre des acteurs publics et parapublics diffère en fonction de l’objectif poursuivi par les agents de la CNIL et de la date du contrôle :

  • 42 contrôles ont été faits au fondement de la loi de 78 ;
  • 34 contrôles ont été faits au fondement du RGPD ou de la directive police/justice ;
  • 8 contrôles ont été faits au fondement du respect des dispositions relatives à la vidéosurveillance.

L’ensemble de ces éléments montre un renforcement des contrôles CNIL contre les acteurs publics et parapublics (23,97 % du total des contrôles en 2017 contre 27,09% en 2018) qui laisse penser que la tendance est à l’accroissement des contrôles à leur encontre.

Au-delà, les chiffres de 2018 montrent une hausse des sanctions pécuniaires publiques par rapport à l’exercice 2017 (passage de 6 à 10 sanctions), avec une très nette augmentation du montant moyen des amendes avec un record à 400 000 euros.

Le détail des organismes sanctionnés en 2018 montre aussi, et contre toute attente, la sanction de plusieurs associations et organismes publics. Si la sanction de l’OPH de Rennes peut paraître conjoncturelle, deux associations (l’ADEF et l’Alliance française Paris Ile de France) ont été sanctionnées pour des motifs plus habituels : les manquements à leurs obligations de sécurité des données.

L’année 2018 a montré que les organismes publics et parapublics, s’ils ne sont pas ciblés spécifiquement par le service des contrôles, ne bénéficient plus de la clémence de la Commission. Le montant des sanctions montre d’ailleurs bien que les organismes publics ou privés d’intérêt général ne sont pas considérés comme des structures à part mais bien comme des responsables de traitement comme les autres.