Quatre mois après l’entrée en vigueur du règlement général de protection des données au niveau européen, la CNIL fait un point. En 4 mois, son site a reçu 3 millions de visites, ce qui atteste en partie de la prise de conscience des entreprises. Sur le terrain, 24 500 organisations ont désigné un délégué à la protection des données.
La CNIL a constaté une forte augmentation du nombre de plaintes par les particuliers. (Crédit : D.R.)
A l’occasion de l’introduction du RGPD (Règlement Général européen pour la Protection des Données personnelles, GDPR en Anglais), beaucoup d’entreprises ont découvert qu’elles ne respectaient pas vraiment la réglementation pré-existante, tant l’évolution était essentiellement formelle en France, malgré quelques nouveautés comme l’obligation de déclaration des fuites ou la nomination d’un DPO. Quatre mois après l’entrée en vigueur du RGPD, la CNIL a tiré un premier bilan qui démontre bien que le battage autour du RGPD a surtout permis une prise de conscience, tant de la part des organisations au sujet de leurs obligations que des particuliers concernant leurs droits.
Sur les deux innovations majeures du RGPD, la CNIL peut se réjouir de voir les choses avancer. Ainsi, 600 notifications de violations de données ont été reçues concernant 15 millions de personnes. Cela représente une moyenne de sept notifications par jour depuis le 25 mai 2018. 24 500 organisations ont désigné un délégué à la protection des données (DPD ou DPO, digital privacy officer) mais, la fonction pouvant être externalisée et mutualisée, la CNIL enregistre seulement 13 000 DPO, soit une moyenne de presque deux organisations par DPO (mais une telle moyenne a-t-elle un sens ?). La progression est cependant fulgurante par rapport à la situation pré-RGPD puisque la CNIL n’enregistrait que 5000 CIL (correspondant Informatique et Liberté), le précurseur du DPO en période pré-RGPD. Notons cependant que le cadre formel de certification des DPO n’est toujours pas finalisé et devrait l’être sous peu.
Les particuliers se rebiffent
De même, les évolutions procédurales sont bien connues. Ainsi, les fichiers sensibles, qui disposent désormais d’un régime spécifique, sont bien identifiés par les organisations concernées. Ainsi, la CNIL indique avoir reçu une centaine de demande d’autorisations pour des fichiers de données personnelles de santé, notamment en matière de recherche. Les foires aux questions de la CNIL ont vu leur fréquentation s’accroître de 83 % et le nombre d’appels téléphoniques augmenter de 45 %. Le site de la CNIL a reçu en quatre mois trois millions de visites et le modèle de registre simplifié proposé par la CNIL a été téléchargé 150 000 fois.
Si les organisations sont globalement conscientes de leurs nouvelles obligations, les particuliers sont, eux, bien informés de leurs nouveaux droits. Ainsi, la CNIL a reçu 64 % de plaintes en plus par rapport à la même période l’an passé (3767 contre 2294). Des plaintes collectives ont été déposées par deux associations : la Quadrature du Net (contre google, Amazon, Facebook, LinkedIn et Apple) et NOYB (contre Google). 200 plaintes transfrontalières sont en cours de traitement, la France étant concernée dans la plupart des cas. La question majeure soulevée est celui du consentement au traitement des données personnelles, en particulier dans le cas des mineurs.
Le cadre juridique continue d’évoluer
Pour coordonner l’action des différentes autorités de contrôle nationales (comme la CNIL en France), le RGPD a mis en place le Contrôleur européen de la protection des données (CEPD), qui remplace le G29. Pour rendre le RGPD plus concret et guider les organisations dans leur mise en conformité de manière uniforme dans toute l’Europe, le CEPD a défini 18 lignes directrices et sept supplémentaires sont en cours d’élaboration. La CNIL a également soumis au CEPD une liste de traitements devant faire l’objet de la fameuse analyse d’impact sur les données personnelles (AIPD) et travaille à une doctrine sur les véhicules connectés avec l’objectif de faire adopter une position commune européenne. Outre ses réunions (deux durant l’été), le CEPD peut aussi compter sur une nouvelle plate-forme informatique d’échanges entre ses membres.
La CNIL indique également que la lisibilité du cadre juridique national devrait être accrue par une ordonnance prise d’ici six mois. Celle-ci clarifiera une situation issue de modifications de la Loi Informatique et Liberté et de son décret d’application prises uniquement pour assurer une conformité du cadre réglementaire national avec le RGPD et la directive « Police-Justice » pour les fichiers contenant des informations de la sphère pénale. La CNIL continue également de travailler en co-construction avec les professionnels concernés à des référentiels sectoriels (en cours : gestion des clients et prospects, ressources humaines, vigilances sanitaires). Un règlement type pour les traitements biométriques est également en cours d’écriture, tout comme certains codes de conduite. MOOC et fiches pratiques vont également se multiplier sur le site web de la CNIL.