Même si l’entrée en vigueur du règlement européen sur la protection des données personnelles, le 25 mai 2018, a fortement sensibilisé les citoyens aux enjeux liées à la collecte et au traitement de leurs informations personnelles, les entreprises ont encore du mal à prendre le chemin de la conformité. Car si les plaintes ont bondi de près de 33% par rapport à 2017, le nombre de sanctions prononcées se résume à 9 sanctions pécuniaires publiques, un avertissement public et un non-lieu. Pas vraiment de quoi affoler les directions…
Le mois dernier, dans un entretien exclusif à la tribune, Marie-Laure Denis, la nouvelle présidente de la CNIL, annonçait un durcissement des contrôles et donc des sanctions dans le seul but d’encourager et accélérer la mise en conformité. Marie-Laure Denis estimait en effet, que l’« action de régulation ne (peut-être) efficace que si nous actionnons à parts égales les deux leviers à notre disposition, c’est-à-dire la pédagogie d’un côté, et le contrôle avec éventuellement des sanctions de l’autre ». L’année 2018 a donc constitué une année de transition destinée à permettre aux responsables de traitement de comprendre et assimiler les exigences du RGPD adopté en 2016.
L’année 2019 marque l’achèvement de cette phase de transition entre l’ancienne législation « libertés et informatique » et le RGPD. La CNIL vérifiera ainsi pleinement le respect des nouvelles obligations et nouveaux droits issus du cadre européen (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations). Lorsqu’elle constatera des manquements, elle en tira les conséquences qui s’imposent, jusqu’à la sanction si nécessaire. Mais comme par le passé, la CNIL fera preuve de discernement dans le choix des mesures correctrices. Pour choisir la réponse appropriée, la CNIL tiendra ainsi compte de la gravité des manquements, de l’activité et de la taille de l’organisme concerné, de sa coopération et de sa bonne foi.
2019, pédagogie et dissuasion
Dans le cadre de son programme annuel des contrôles qui représente environ 1⁄4 de ses investigations, la CNIL souhaite concentrer cette année son action sur les plaintes et trois grandes thématiques, directement issues de l’entrée en application du RGPD. Une stratégie de contrôles centrée sur les plaintes reçues (collectives ou individuelles) pour rester en prise directe avec les attentes des citoyens. Les contrôles porteront notamment sur l’exercice pratique des droits, ce qui représente 73,8% des plaintes reçues en 2018. Des contrôles sur des grandes thématiques qui concernent tous les secteurs plutôt que sur des traitements : la répartition des responsabilités entre les sous-traitants et les donneurs d’ordre, les données des mineurs (publication de photos, biométrie et vidéosurveillances dans les écoles, recueil du consentement des parents pour les moins de 15 ans).
GDPR : comment se mettre en marche ?
Comprendre les exigences du règlement, sensibiliser ses collaborateurs, mesurer le niveau de maturité de son organisation et donc allouer les bons budgets, un vrai casse-tête pour les entreprises. De ce constat est né GDPR Rating, un outil d’auto-évaluation à destination des PME-ETI.
Grâce à cette plateforme de notation, les entreprises obtiennent en ligne et en toute autonomie un état des lieux ainsi que les mesures de remédiation associées. À la clé, une note de conformité que chaque organisation peut communiquer auprès de ses clients, ses prestataires et ses utilisateurs. Mais la possibilité d’aller plus loin et de bénéficier d’un accompagnement personnalisé selon les besoins de son organisation (sécurité, DPO, e-learning).
