Le 2 février 2019, Isabelle Falque-Pierrotin laissait officiellement son poste de présidente de la CNIL, la Commission Nationale de l’Informatique et des Libertés – l’autorité française en charge de la protection des données – , à Marie-Laure Denis, et ceci pour un mandat de 5 ans. Ce n’est pas une surprise, son mandat sera placé sous le signe du RGPD, règlement général de la protection des données, entré en vigueur le 25 mai 2018.

Le Règlement Général de la Protection des Données

Pour rappel, le RGPD a été adopté par le Parlement Européen le 14 avril 2016, laissant ainsi aux 28 Etats membres 2 ans pour en appliquer les directives. Le RGPD répond à 3 objectifs majeurs :

  •    Uniformiser la réglementation européenne sur la protection des données personnelles
  •    Responsabiliser les entreprises dans leur collecte de données personnelles
  •    Renforcer le droit des utilisateurs (droit à l’accès, droit à l’oubli, droit à la portabilité, etc.).

Les sanctions promises aux organisations par le règlement en cas de manquement à celui-ci, vont du simple rappel à l’ordre à l’amende pécuniaire, publique ou non, pouvant atteindre 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise auditée.

10 mois plus tard, les premières conclusions.

Aujourd’hui, en mars 2019, nous notons un impact significatif de part et d’autre de l’Europe. Les différents gouvernements ont adapté leur cadre juridique à l’échelle de l’Union Européenne démontrant alors un réel investissement dans cette lutte contre les abus en matière de données personnelles. Quelques semaines avant le premier anniversaire de l’entrée en vigueur du texte, seuls 5 pays n’ont pas encore réalisés cette action : la Bulgarie, la Grèce, la Slovénie, le Portugal et la République Tchèque.  Face à cela, nous avons remarqué que des pays non membres de l’UE se sont investis dans ce “combat” : le Japon a aligné sa législation sur le Règlement Européen, et le Brésil a voté fin février le LGPD (Lei Geral de Proteção de Dados), autrement dit un RGPD brésilien. En Californie, le California Consumer Privacy Act structure déjà l’utilisation de données personnelles par les entreprises et laisse penser que d’autres états souhaiteraient créer un RGPD made in USA.

Les particuliers n’ont pas manqué de montrer leur engouement et une réelle prise de conscience. « Les citoyens sont davantage conscients de l’importance de la protection des données et de leurs droits, et ils exercent désormais ces droits, comme le constatent tous les jours les autorités nationales de protection des données. » déclarent conjointement 4 commissaires de la Commission Européenne, Frans Timmermans, Andrus Ansip, Věra Jourová et Mariya Gabriel. Et les chiffres prouvent qu’ils ont profité de ces nouvelles directives pour revendiquer leurs droits, en France, mais également dans toute l’Europe.

S’il reste encore du travail, les entreprises qui traitent des données personnelles se sont, de leur côté pliées petit à petit aux exigences du RGPD. La CNIL a sanctionné des entreprises qui entravent les règles de protection des données des utilisateurs. On retiendra l’amende record à Google de 50 millions d’euros pour manque de transparence et d’information aux utilisateurs sur les traitements réalisés et pour absence de consentement des utilisateurs. Mais d’autres sanctions ont été infligées. En effet, la première amende nous venait du Portugal. En effet, le Centre Hospitalier Barreiro-Montijo a écopé de 400 000€ d’amende pour une mauvaise gestion des droits d’accès aux dossiers médicaux de ses patients. On constate alors que l’écart entre le nombre d’amendes et le nombre de plaintes est important. Ceci s’explique par l’indulgence des autorités de contrôle européennes. Elles sont conscientes de la difficulté pour les PME de s’accorder avec le RGPD pour diverses raisons : manque de temps, de ressources humaines, et/ou de budget. La bonne volonté des entreprises leur permet d’échapper aux sanctions, mais cela risque de ne pas durer.

Lors du “Sweep day 2018” dont les conclusions ont été publiées le 5 mars 2019, la CNIL fait état de la mise en conformité des prestataires de services informatiques. Ils disposent, depuis le RGPD, d’un statut particulier en tant que sous-traitants, les obligeant à assister et conseiller leurs clients. Si une marge de progression est attendue par l’autorité de contrôle, elle reconnaît que les acteurs de ce secteurs ont “globalement pris conscience des évolutions découlant du RGPD”. Des évolutions, afin de revendiquer une totale mise en conformité, sont attendues et principalement sur 2 points : l’accompagnement des clients dans leurs analyses d’impact et demandes d’exercice de droits ainsi que dans la gestion d’incidents de sécurité. Le chemin est encore long pour les entreprises, la mise en conformité au RGPD représentant un investissement non négligeable. La motivation est présente, l’objectif du texte a été compris, et cela est tout de même un pas important.

Pour terminer, notons qu’en France, à la fin de l’année calendaire 2018, 32 000 organismes avaient désigné un DPO, pour répondre à l’une des exigences du RGPD. Ce ne sont donc pas moins de 15 000 DPO qui ont été nommés contre 5 000 CIL (Correspondant Informatique et Liberté) avant le RGPD.