• L’activité 2020 a été marquée par le travail accompli pour garantir les mesures de soins de santé, la maîtrise de la pandémie et le droit fondamental à la protection des données
• Au cours de l’année 2020, 29 interventions d’urgence ont été réalisées pour le retrait de contenus sexuels ou violents diffusés sur Internet associés au canal prioritaire, avec un taux de réussite supérieur à 86
• En 2020, un total de 10324 plaintes ont été déposées auprès de l’Agence
• Les plaintes les plus fréquemment déposées par les citoyens concernent les services internet, l’insertion indue dans des fichiers de retard de paiement, la vidéosurveillance, la réception de publicités et les créances
• Les domaines les plus fréquents dans les procédures de sanction sont la vidéosurveillance, les services internet, AAPP et les télécommunications
• Les secteurs les plus sanctionnés sont les établissements financiers/créditeurs et les télécommunications, qui regroupent 76 % du montant global des sanctions
• Les projets de décision pour lesquels une autre autorité européenne de protection des données a demandé la participation de l’Agence ont augmenté de 114 % et les demandes d’assistance de 123 %
• Les délais de résolution et de réalisation des projets de sensibilisation ont été maintenus par rapport à l’année précédente, ce qui montre que la mise en œuvre complète du télétravail n’a pas nui à la capacité de travail de l’organisme

L’Agence Espagnole de Protection des Données (AEPD) a publié aujourd’hui son rapport 2020, qui présente de manière exhaustive les activités réalisées par cette institution, les chiffres de gestion, les tendances marquantes, les décisions et procédures les plus pertinentes de l’année, et une analyse des défis actuels et futurs. L’activité de l’organisme en 2020 a été marquée par le travail accompli pour garantir les mesures de soins de santé, la lutte contre la pandémie et le droit fondamental à la protection des données, ainsi que la prise de décisions organisationnelles pour maintenir le niveau d’activité dans les conditions requises par la COVID19, de sorte que le système de garanties pour les citoyens établi par la réglementation sur la protection des données à caractère personnel ne puisse être affecté.

Au cours de l’année 2020, on a assisté à la consolidation du canal prioritaire, dont l’objectif est l’attention urgente en cas de diffusion illégitime sur Internet de contenus sensibles. L’intervention de l’Agence a permis, dans des délais très courts, le retrait de photos et de vidéos à contenu sexuel ou violent diffusées sur l’internet sans le consentement des personnes concernées, souvent appartenant à des groupes vulnérables. En 2020,358 pétitions ont été reçues par le canal prioritaire, dont 174 par le canal des mineurs. Ce nombre a triplé par rapport à 2019, année au cours de laquelle 14 demandes urgentes ont été traitées. Sur les 49 demandes, 29 ont été adressées d’urgence à des fournisseurs de services, ce qui a permis de retirer plus de 86 % des demandes. Dans les 20 autres cas, qui n’exigeaient pas le retrait de contenus, un traitement prioritaire leur a également été accordé.

L’Agence a continué de relever le défi consistant à assumer les effets du règlement général sur la protection des données (RGPD) sur le développement des politiques de protection des données. Ceux-ci se sont manifestés à la fois par une augmentation significative du travail de l’AEPD au sein du comité européen de protection des données et par le nombre de procédures transfrontalières. Le rapport souligne comment, à l’heure actuelle, il est impossible de séparer clairement l’activité interne de l’activité européenne, toutes deux liées à l’application d’une norme unique.

En 2020, 10324 plaintes ont été déposées auprès de l’Agence, soit 11215, y compris les dossiers transfrontaliers, les cas où l’Agence agit de sa propre initiative et les faillites de sécurité reportées à inspection. En 2020, le taux de règlement des plaintes a augmenté de 5 % par rapport à l’année précédente, ce qui est remarquable compte tenu de la situation sanitaire d’urgence. D’autre part, les temps moyens de résolution et le développement de projets de sensibilisation ont été maintenus par rapport à 2019, démontrant que l’extension du télétravail existant à l’Agence n’a pas nui à la capacité de travail de l’agence.

Les plaintes les plus fréquemment déposées par les citoyens en 2020 concernent les services internet (16%), l’insertion indue dans des fichiers de retard de paiement (15%), la vidéosurveillance (12%), la réception de publicités (à l’exception du spam) (7%) et les créances (6%). Dans le cadre des plaintes, il est important de faire référence aux transferts, une démarche promue par la LOPDGDD qui vise à faciliter le règlement rapide de celles-ci indépendamment de l’activité d’inspection que peut mener l’Agence. En 2020, 77 % des plaintes ont été réglées après le transfert. Ainsi, 2157 plaintes ont été réglées suite à l’obtention, après le transfert, d’une réponse satisfaisante du responsable du traitement ou du sous-traitant.

En 2020, l’Agence a rendu 393 décisions de sanction (soit 16 % de plus que l’année précédente), dont 172 seulement ont fait l’objet d’une sanction financière. Les domaines les plus fréquents dans les procédures de sanction sont la vidéosurveillance (24%), les services Internet (19%), les administrations publiques (10%) et les télécommunications (7%). Les secteurs les plus sévèrement sanctionnés sont les établissements financiers/créditeurs (5045000 euros) et les télécommunications (1009000 euros). Tous deux représentent 76 % du montant total des sanctions, qui s’élevait à 8018800 euros en 2020, soit une augmentation de 27 % par rapport à 2019, année où le montant des amendes avait diminué de 52 % par rapport à 2018.

Par ailleurs, le nombre de procédures de coopération dans lesquelles la participation d’autres autorités européennes de protection des données a été sollicitée est remarquable. Globalement, elles ont augmenté de 15 % (1210 cas) par rapport à 2019. Les projets de décision pour lesquels une autre autorité européenne de protection des données a demandé la participation de l’Agence ont augmenté de 114 % et les demandes d’assistance de 123 %. Ainsi, le cas d’une faillite de sécurité affectant le réseau social Twitter, dans lequel l’Agence a agi en tant qu’autorité concernée, a été traité dans le cadre de la procédure de coopération prévue pour les traitements transfrontaliers, et les faillites de sécurité des entreprises britanniques Marriot Hotels et Ticketmaster. Il convient également de souligner la première procédure de sanction transfrontalière qui a été résolue par l’AEPD en tant qu’autorité chef de file pour les traitements réalisés par la société Miraclia. Il convient de noter que ces procédures sont plus complexes et plus longues que les procédures nationales.

En ce qui concerne les arrêts rendus par l’Audiencia Nacional dans les recours formés contre des décisions de l’Agence, 56 des 77 arrêts rendus en 2020 (soit 73 %) ont été rejetés ou rejetés. Pour sa part, la Cour Suprême a rendu 18 arrêts, avec un pourcentage favorable à l’Agence de 95 %.

Quant aux notifications de faillites de sécurité adressées à l’Agence, elles sont d’abord reçues par la Division de l’innovation technologique (DIT), qui procède à une première analyse. La DIT a reçu et analysé 1370 notifications de faillites de sécurité en 2020, dont seulement 6 % (81) ont été transmises à l’Inspection pour complément d’enquête. À cet égard, il convient de souligner le lancement en 2020 de l’outil Comunica_Brecha pour aider ceux qui traitent des données dans la décision de communiquer la faillite de sécurité aux personnes concernées.

En ce qui concerne les chiffres des Délégués à la Protection des Données (DPD) notifiés à l’Agence, 2020 a été clôturée avec 65040 DPD (57657 du secteur privé et 7383 du secteur public). En ce qui concerne les services d’assistance fournis par l’Agence pour l’adaptation au règlement, près de 2900 demandes ont été reçues via le canal INFORMA_RGPD, qui, en novembre 2020, a été transformé en Canal DPD pour répondre aux questions posées par les Délégués à la protection des données préalablement notifiés à l’Agence, en renforçant la figure créée par le RGPD. L’Agence souligne dans son rapport le faible nombre de DPD dans l’administration locale, où seulement 3334 députations, mairies, collectivités locales et organismes associés ont communiqué leur DPD. Même en supposant une augmentation de 25% par rapport à la même date de l’année précédente, ce chiffre est encore loin du total des responsables qui composent l’administration locale en Espagne et qui doivent avoir un DPD.

Enfin, près de 1400 questions ont été posées à la chaîne jeunesse de l’Agence. Les consultations les plus fréquentes ont porté sur le traitement des données personnelles des élèves pour l’exercice de la fonction éducative, en grande partie associées à la situation engendrée par la pandémie. Ainsi, devant développer la fonction éducative dans un nouveau scénario, les établissements d’enseignement ont parfois utilisé de nouvelles applications pour eux, ce qui a conduit à de nombreuses consultations, tant de la part des familles que des enseignants et des équipes dirigeantes. Dans ce contexte, l’Agence a publié des questions fréquentes sur la conduite des cours et des examens en ligne à l’aide d’outils d’appel vidéo ou de plates-formes éducatives et sur leur implication dans la protection des données tant des élèves que des enseignants. Par ailleurs, l’AEPD a publié un document avec le contact des DPD des Conseils de l’Education des CCAA, afin de faciliter aux parties prenantes de poser au DPD des questions concrètes sur des outils ou des protocoles éducatifs.

Plan de responsabilité sociale et de durabilité

Le rapport dresse le bilan des actions menées en 2020 dans le cadre de son Plan de responsabilité sociale et de durabilité 2019-2024, un projet pionnier dans l’administration publique espagnole qui comprend plus de 100 initiatives alignées sur les Agenda SDG 2030. À cet égard, l’AEPD a déjà réalisé 65 % des actions prévues pour les cinq années. Parmi les engagements sociaux adoptés, il convient de souligner le volet de la promotion de l’égalité des genres pour lutter contre la violence sur l’internet (Canal prioritaire) et les actions menées par l’Agence dans le domaine de l’éducation et des mineurs. En ce qui concerne l’engagement interne en faveur de l’égalité pour une meilleure représentation des femmes aux niveaux les plus élevés de l’AEPD, il souligne qu’il est passé de 31 % en 2019 à 38 % en 2020.

Par ailleurs, sur le plan interne, il convient de souligner le programme de télétravail de l’Agence, une initiative lancée en 2017 pour renforcer la conciliation et la rétention des talents et qui, en 2020, s’est avérée cruciale pour faire face à la crise sanitaire, permettant à 100 % du personnel de l’AEPD d’être pleinement opérationnel à distance avec des taux de productivité et d’efficacité identiques.

Le pacte numérique pour la protection des personnes mérite également une mention particulière dans les travaux réalisés en 2020, une initiative qui a été élaborée tout au long de l’année et qui vise à promouvoir la protection de la vie privée en tant qu’atout dont les organisations doivent tenir compte lors de l’élaboration de leurs politiques et stratégies. Ce plan, présenté en janvier 2021 avec l’adhésion de 40 grandes organisations d’entreprises, fondations, associations de médias et groupes audiovisuels, compte actuellement près de 200 organisations affiliées.

Rapport 2020:

SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA SPAGNA – AEPD