RGPD : quel bilan 6 mois après son entrée en application ?
Alors que 66% des Français se disent plus sensibles qu’auparavant à la protection des données, la CNIL continue à recevoir toujours plus de plaintes individuelles ou collectives, 6 mois après l’entrée en application du RGPD.
Bilan factuel ou quantitatif
Une ordonnance avant la fin de l’année
La lisibilité du cadre juridique national sera améliorée par une ordonnance qui sera prise avant la fin de l’année. La CNIL s’est déjà prononcée pour avis sur le projet de cette ordonnance le 15 novembre.
Du côté des professionnels : une appropriation qui se poursuit
- 32 000 organismes ont désigné un délégué à la protection des données (personnes physiques ou morales) ; ce qui représente 15 000 DPO contre 5 000 CIL (correspondants informatique et libertés) avant le RGPD ;
- 1 000 notifications de violations de données ont été reçues, soit environ 7 par jour depuis le 25 mai ;
- Une hausse significative des contacts avec les publics, notamment les professionnels : 178 000 appels depuis janvier 2018 et ; 246 000 consultations des FAQ en ligne (178 000 en 2017)) ;
- 7 millions de visites sur le site de la CNIL (4,4 millions en 2017) ;
- 130 000 téléchargements de l’outil PIA pour réaliser une analyse d’impact sur la protection des données.
Du côté des particuliers : une sensibilité en nette augmentation et une dimension plus collective de l’action
Depuis le début de l’année, la CNIL a reçu 9 700 plaintes, soit 34% de plus qu’en 2017 sur la même période.
6 000 plaintes ont été reçues depuis le 25 mai.
On constate, dans le cadre de l’instruction de ces plaintes, qu’elles sont l’occasion, pour les organismes mis en cause, de repenser leur organisation notamment au regard de l’information des personnes et des modalités d’exercice des droits, comme le droit d’accès. En effet, les organismes reçoivent énormément de demandes de droit d’accès notamment, ce à quoi ils n’étaient manifestement pas assez préparés.
Selon un sondage IFOP réalisé en octobre pour la CNIL, 66% des Français se disent plus sensibles que ces dernières années à la protection de leurs données personnelles. Cette hausse de la sensibilité s’explique principalement par des facteurs anxiogènes exprimés par les personnes interrogées : la peur du piratage ou du vol de données et les scandales de piratages sur les réseaux sociaux. Les spam et les sollicitations commerciales émergent également dans les principaux motifs de cette sensibilisation accrue.
Face à ces inquiétudes, la connaissance du RGPD apparait globalement bonne, 65% des Français en ayant déjà entendu parler. Néanmoins, seule une courte majorité (54%) estime à ce stade comprendre ce que le RGPD a changé sur les droits des personnes et les obligations des professionnels. Une fois mieux informés sur ce règlement, les Français portent un regard largement positif sur celui-ci, puisque 73% considèrent qu’il est efficace pour mieux protéger les données personnelles.
Sondage réalisé en ligne, du 30 au 31 octobre, auprès d’un échantillon de 1003 personnes, représentatif de la population française âgée de 18 ans et plus.
- Trois organismes ont saisi la CNIL de plaintes collectives: la Quadrature du Net (plaintes concernant Google, Amazon, Facebook, LinkedIn et Apple, pour un total de 45 000 personnes concernées), l’association NOYB (Google) et l’ONG anglaise Privacy International (plaintes concernant 7 entreprises procédant à de la collecte à grande échelle de données en ligne).
- Les autorités de protection européennes traitent actuellement en coopération 345 plaintes transfrontalières. La CNIL est concernée par 187 cas et autorité chef de file pour 15 cas. Ces plaintes soulèvent notamment des questions sur le consentement.
Du côté des autorités de protection des données : une coopération européenne opérationnelle soutenue
- 4 plénières du Comité européen à la protection des données (CEPD) ont déjà eu lieu depuis mai ainsi que de nombreux sous-groupes de travail ;
- 19 lignes directrices ont été adoptées et 6 sont en cours d’élaboration (la certification, les codes de conduite, les transferts de données ou encore la vidéosurveillance) ;
- La seconde revue annuelle du Privacy Shield a eu lieu en octobre (présentation d’un rapport à venir) ;
- Un avis a été adopté sur la proposition de Règlement et la proposition de Directive en matière d’accès aux preuves électroniques et le CEPD a été saisi par la Commission européenne pour rendre un avis sur le projet de décision d’adéquation du Japon ;
Le CEPD a validé plus de 20 listes nationales de traitements devant faire l’objet d’une analyse d’impact sur les données personnelles (AIPD).
Les actions de la CNIL pour accompagner les professionnels
La CNIL a déjà élaboré des nouveaux outils de régulation permis par le RGPD ou la loi modifiée et d’autres initiatives sont en cours :
La publication de la liste des traitements devant faire l’objet d’une analyse d’impact ainsi que des lignes directrices synthétiques permettant aux responsables de traitement concernés de savoir plus précisément s’ils sont ou non soumis à cette obligation ;
La consultation sur un règlement-type biométrie qui permettra de fixer un cadre exigeant et protecteur, pour lequel la CNIL a reçu 29 contributions. Ce règlement sera adopté prochainement par la CNIL ;
- La consultation prochaine sur 5 « référentiels » relatives à la gestion clients et prospects, la gestion des impayés, les vigilances sanitaires, les ressources humaines et la gestion des cabinets médicaux. Ces référentiels actualisent la doctrine de la CNIL au regard des nouvelles exigences du RGPD en s’appuyant sur la doctrine établie depuis de nombreuses années (autorisations uniques, normes simplifiées, packs de conformité, etc.). Certains de ces référentiels seront portés par la CNIL au niveau européen ;
- L’adoption de deux référentiels de certification de compétences « DPO » après consultation (délivrance des premiers agréments envisagée au 1er semestre 2019) ;
- Une dizaine de codes de conduite en cours de préparation, portant notamment sur la recherche médicale et les infrastructures dites de « cloud » ;
Développement d’une stratégie à destination des « têtes de réseaux » afin d’assurer une diffusion plus large des principes RGPD ;
- La conception d’un MOOC pour se familiariser avec les principes fondamentaux du RGPD (1er trimestre 2019) ;
- Un plan d’accompagnement des collectivités locales en 2019 : guide pratique, fiches thématiques, (téléservices, sécurité, DPO et collectivités, etc.).
sources : La CNIL 2018