L’autorité de régulation a annoncé la publication d’une ordonnance d’ici la fin de l’année visant à améliorer le cadre juridique du GDPR. Dans le même temps, la CNIL dresse un premier bilan d’étape, six mois après l’entrée en vigueur du règlement européen, le 25 mai dernier.
Les Français face au GDPR
66% c’est le pourcentage de personnes qui se disent plus sensibles qu’auparavant à la protection de leurs données personnelles selon un sondage IFOP réalisé en octobre pour la CNIL.
Principales sources d’inquiétudes :
- La peur du piratage ou du vol de données
- Les scandales de piratage sur les réseaux sociaux
- Les spam et les sollicitations commerciales
Et quand on leur parle de GDPR, 2 Français sur 3 (65%) dispose d’une bonne connaissance globale sur la question. Mais seule, une courte majorité (54%) estime comprendre à ce stade ce que le règlement a vraiment changé sur les droits des personnes et donc sur les obligations des professionnels.
Toutefois, une fois mieux informés, les Français portent un regard plutôt positif sur le règlement. Près de 73% d’entre eux le considèrent comme efficace pour mieux protéger les données.
Sans commenter ses résultats, la CNIL estime que les efforts des professionnels pour s’approprier du GDPR se poursuivent
32 000 organismes ont désigné un délégué à la protection des données (personnes physiques ou morales).
15 000 DPO ont été nommés contre 5 000 CIL auparavant.
1000 notifications de violations de données ont été notifiées soit 7 par jour depuis le 25 mai 2018.
Les contacts entre la CNIL et les professionnels se sont multipliés…
178 000 appels depuis janvier 2018.
246 000 consultations des FAQ en ligne contre 178000 en 2017
7 millions de visites sur le site de la CNIL contre 4,4 millions en 2017.
130 000 téléchargements de l’outil PIA pour réaliser une analyse d’impact.
… Mais également avec les particuliers
9 700 plaintes reçues soit 34% de plus qu’en 2017 sur la même période.
6 000 plaintes ont été reçues depuis le 25 mai.
Dans le cadre de l’instruction de ces plaintes, la CNIL a plutôt une attitude positive vis à vis des organismes concernés estimant que ces plaintes sont une bonne occasion pour « repenser leur organisation, notamment au regard de l’information des personnes et des modalités d’exercice des droits comme le droit d’accès. ». Selon la CNIL, les demandes de droit d’accès sont en forte augmentation « ce à quoi, ils n’étaient manifestement pas assez préparés. ».
Trois organismes ont saisi la CNIL de plaintes collectives
La Quadrature du Net : les plaintes concernent Google, Amazon, Facebook, Linkedin et Apple pour un total de 45 000 personnes concernées.
L’association NOYB les plaintes concernent Google. L’ONG anglaise Privacy International : les plaintes concernent 7 entreprises procédant à de la collecte à grande échelle de données en ligne.
Par ailleurs, les autorités de protection européennes sont en train de traiter 345 plaintes transfrontalières. La CNIL est concernée par 187 cas et autorité chef de file pour 15 cas. Dans la majorité des cas, ces plaintes soulèvent des questions sur le consentement.
Les autorités de protection coopèrent de manière soutenue
Le Comité européen à la protection des données (CEDP) a validé 20 listes nationales de traitements devant faire l’objet d’une analyse d’impact sur les données personnelles (AIPD).
19 lignes directrices ont été adoptées et 6 sont en cours d’élaboration (la certification, les codes de conduite, les transferts de données ou encore la vidéosurveillance).
La publication de ces listes et directives doivent permettre aux responsables de traitement concernés de savoir plus précisément s’ils sont ou non soumis à l’obligation de l’analyse d’impact.
Près de 10 codes de conduite sont en cours de préparation, portant notamment sur la recherche médicale et les infrastructures cloud.
GDPR : comment se mettre en marche ?
Comprendre les exigences du règlement, sensibiliser ses collaborateurs, mesurer le niveau de maturité de son organisation et donc allouer les bons budgets, un vrai casse-tête pour les entreprises.
De ce constat est né GDPR Rating, un outil d’auto-évaluation à destination des PME-ETI. Grâce à cette plateforme de notation, les entreprises obtiennent en ligne et en toute autonomie un état des lieux ainsi que les mesures de remédiation associées.
À la clé, une note de conformité que chaque organisation peut communiquer auprès de ses clients, ses prestataires et ses utilisateurs. Mais la possibilité d’aller plus loin et de bénéficier d’un accompagnement personnalisé selon les besoins de son organisation (sécurité, DPO, e-learning).
