Le rapport annuel de la Commission nationale de l’informatique et des libertés (CNIL), publié le 23 mai 2023, est l’occasion de préciser les actions menées en 2022 et d’en déduire des points d’attention particuliers pour 2023.
Information des personnes et protection de leurs droits
Afin de remplir cette mission, la CNIL a lancé plusieurs campagnes à destination du grand public, dont la campagne « Tous ensemble, prudence sur Internet » et deux spots radios (touchant ainsi près de 8 millions d’auditeurs et près de 11 millions d’utilisateurs, qui ont visité le site Internet de la CNIL en 2022). 13 425 plaintes ont été traitées.
De nouveaux outils d’accompagnement de la conformité et conseil
Afin d’accompagner les professionnels dans leur démarche de conformité, la CNIL a publié, en 2022, 5 nouveaux guides, 7 référentiels et 3 recommandations. De plus, une mise à jour a été faite de son MOOC Atelier RGPD, s’adressant plus particulièrement aux collectivités territoriales. Ont également été publiés un ensemble d‘éléments dédiés à l’intelligence artificielle (IA) à destination de tous les publics, prenant en compte notamment les besoins d’accompagnement et de formation en matière d’IA exprimés par les délégués à la protection des données (DPO).
Anticipation et innovation
Sur le sujet susmentionné de l’intelligence artificielle (IA), la CNIL a créé un service dédié, en janvier 2023, relevant que : « la technologie est à la fois une source de nouveaux risques » et « une opportunité pour répondre aux exigences du RGPD », et soulignant le nécessité de veiller à ce que les divers dispositifs reposant sur l’IA soient bien conformes au RGPD.
Une hausse de l’activité répressive
Dans son rapport annuel 2022, la CNIL indique qu’elle a effectué 354 contrôles, 147 mises en demeure et prononcé 21 sanctions, dont 19 amendes, dont le montant cumulé a atteint 101 millions d’euros. L’accroissement des activités de la CNIL sur ce volet est dû, en partie, à une importante réforme des procédures de sanctions, avec la création d’une procédure simplifiée adaptée aux dossiers sans difficultés technique ou juridique particulières. Dans le cadre de cette procédure simplifiée, l’amende est de 20 000 euros maximum, alors qu’elle peut s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, dans le cadre de la procédure classique.
En outre, le nombre de notifications des violations de données enregistrées a baissé (4 088 notifications enregistrées en 2022, contre 5 037 en 2021). La CNIL entend poursuivre ses efforts sur cette voie, notamment grâce à une amélioration du service rendu aux usagers en matière de traitement et suivi des plaintes, et en particulier par la généralisation d’un « portail permettant aux usagers de suivre plus facilement les étapes d’avancement de leur dossier, de faciliter et de sécuriser les échanges ».
Quels enjeux pour 2023 ?
Une attention particulière est portée à l’entreprise américaine OpenAI, à l’origine du robot conversationnel ChatGPT, ayant fait l’objet de 5 plaintes auprès de la CNIL. La plateforme a déjà été condamnée par l’autorité de régulation italienne, pour non-respect de la législation sur les données personnelles et car elle ne disposait pas d’un système permettant la vérification de l’âge des utilisateurs mineurs.
Sur d’autres domaines liés à l’IA, la CNIL mène des contrôles sur de nouveaux dispositifs, telles les caméras de vidéosurveillance algorithmique utilisées par des collectivités locales et les outils utilisant l’IA dans la lutte contre la fraude (à l’assurance sociale, notamment). Ainsi, comme l’a indiqué la Présidente de la CNIL, des contrôles devraient porter très probablement sur certaines des caméras qui seront utilisées dans le cadre des Jeux olympiques de Paris, en 2024.