Mise en place du RGPD par les acteurs privés et publics : la CNIL ne tolèrera pas de retards
Le 27 mars 2017, à l’occasion de la présentation par la CNIL de son rapport d’activité 2016, Madame Isabelle Falque-Pierrotin, présidente de la CNIL, a insisté sur l’importance d’être prêt pour l’entrée en vigueur du RGPD : « Ce règlement ne souffre pas de retard. En mai 2018, la Cnil, les acteurs publics et privés devront être prêts pour le mettre en œuvre opérationnellement. (…) Pour les entreprises, la marche à monter est réelle ». Madame Isabelle Falque-Pierrotin a cité à cette occasion une étude récente selon laquelle moins de 10% de ces acteurs pensent être prêts à temps.
Certains juristes ont cependant cru discerner un délai supplémentaire de deux ans dans le considérant 171 du RGPD, lequel énonce que « la directive 95/46/CE devrait être abrogée par le présent règlement. Les traitements déjà en cours à la date d’application du présent règlement devraient être mis en conformité avec celui-ci dans un délai de deux ans après son entrée en vigueur ».
Mais la CNIL campe sur sa position : « le règlement européen a été adopté en mai 2016, il est d’application en mai 2018 ». Inutile, donc, de prendre le risque d’encourir des sanctions en n’étant pas prêt le 25 mai 2018.
Logiciel gratuit PIA : la CNIL vous aide à vous préparer au RGPD
Le 22 novembre 2017, la CNIL a publié sur son site un logiciel téléchargeable gratuitement, appelé PIA (Privacy Impact Assessment) : il déroule l’intégralité de la méthode PIA développée par la CNIL dès 2015. Selon la CNIL, « l’application de cette méthode permet d’être conforme aux exigences définies dans les lignes directrices du G29, groupe des « CNIL européennes », adoptées en octobre 2017. Il permet ainsi aux professionnels de se familiariser dès maintenant à la méthode PIA pour être prêt en mai 2018. »
Ce logiciel est téléchargeable sur le site de la CNIL.
De l’interprétation du RGPD
Pour ce qui est de l’interprétation du Règlement, le Parlement Européen s’en remet au G29, ou « groupe de travail Article 29 sur la protection des données », essentiellement composé de représentants des autorités de contrôle nationales, c’est-à-dire des équivalents de la CNIL pour chacun des États membres. L’article 29 en question est celui de la directive 95/46/CE du 24 octobre 1995.
En France, depuis 2016, la CNIL a ainsi pris l’initiative de consulter en ligne les français sur les thèmes majeurs du RGPD. Au 19 septembre 2017, les lignes directrices sur la portabilité, le délégué à la protection des données et l’autorité chef de file sont adoptées, tandis que celles relatives à l’analyse d’impact sur la protection des données font toujours l’objet d’une consultation.
Fin septembre 2017, la CNIL a lancé une nouvelle consultation publique sur la transparence et le transfert des données, laquelle s’est close en octobre, tandis que les sujets de la certification, de la notification de violation de données personnelles, du consentement et du profilage restent à étudier.
L’internaute est invité à prendre part à ces consultations sur le site de la CNIL, au fur et à mesure de leurs ouvertures.
La CNIL aide les sous-traitants à se préparer
Le 29 septembre dernier, la CNIL a mis en ligne sur son site un guide lui permettant d’accompagner les sous-traitants dans leur préparation au RGPD.
Téléchargeable gratuitement sur le site de la CNIL, ce guide détaille les obligations des sous-traitants et leur propose divers moyens pour mettre leurs processus en conformité avec celles-ci.
Sont en particulier abordées les obligations de transparence et de traçabilité, la prise en compte des principes de protection des données dès la conception et de protection des données par défaut, l’obligation de garantir la sécurité des données traitées, ainsi que les obligations d’assistance, d’alerte et de conseil.
Le projet de loi français complémentant le RGPD est en préparation
Le RGPD est d’application directe, et se passe donc de transposition en droit interne. Cependant, le texte même du RGPD a prévu d’octroyer une certaine latitude aux États membres pour un certain nombre de ses dispositions. Par exemple, l’article 8 du règlement fixe à 16 ans l’âge du consentement pour la collecte des données personnelles sur Internet, mais autorise les États membres à descendre jusqu’à 13 ans.
Par un rapport du 22 février 2017, l’Assemblée nationale a préparé l’application du Règlement en France. Puis, fin novembre 2017, le gouvernement a transmis au Conseil d’État le projet de loi destiné à adapter la législation française au Règlement. A cette occasion, le gouvernement, par l’entremise de son secrétaire d’État au Numérique, Monsieur Mounir Mahjoubi, a précisé qu’il n’entendait pas intervenir par voie d’ordonnance sur ce sujet, et que le texte serait officiellement présenté « début 2018 ».
Cousin du RGPD, le Règlement ePrivacy entrera en vigueur à la même date
Le règlement ePrivacy, spécifique aux communications électroniques, devrait lui aussi entrer en vigueur le 25 mai 2018. Le projet en a été publié en janvier dernier, sous l’intitulé « règlement concernant le respect de la vie privée et de la protection des données à caractère personnel dans les communications électroniques ».
Ce règlement, qui s’applique à tout type de communication électronique, en ce compris les messageries de type Skype, Facebook Messenger ou WhatsApp, circonscrit le traitement des données collectées à la seule finalité de servir la communication. Ainsi, les métadonnées elles-mêmes, que le texte définit comme « les données traitées dans un réseau de communications électroniques aux fins de la transmission, la distribution ou l’échange de contenu de communications électroniques », devront, pour pouvoir faire l’objet d’un traitement, avoir recueilli le consentement de l’utilisateur : à défaut, elles devront être supprimées ou anonymisées, sauf celles qui sont nécessaires à la facturation.
Le traitement des cookies va être également grandement simplifié : seuls les cookies présentant un risque d’atteinte à la vie privée de l’utilisateur devront recueillir son aval, et celui-ci pourra être donné une fois pour toute à l’installation du navigateur ou de sa mise à jour.
Enfin, le règlement ePrivacy va considérablement remodeler la lutte contre le démarchage commercial. Ainsi, le démarchage téléphonique devra avoir systématiquement recueilli, en amont, l’accord des prospects pour pouvoir être mis en place. En revanche, le démarchage par email pourra être effectué sans l’accord préalable de l’internaute s’il concerne des services équivalents à ceux déjà fournis, le commerçant devant simplement offrir une possibilité effective à cet internaute de se retirer à tout moment de sa liste de diffusion.
La CNIL invite à la vigilance à l’égard de messages alarmistes sur « la mise en conformité »
Par un communiqué du 24 novembre 2017, la CNIL a appelé à faire preuve de vigilance après avoir constaté, écrit-elle, que « Des entreprises ont reçu par fax et par téléphone, en particulier ces derniers jours, des messages pour une « mise en conformité » avec le règlement européen sur la protection des données personnelles (dit « RGPD »). Le message, alarmiste et pouvant faire penser à une mise en demeure administrative, insiste sur les sanctions financières encourues.
Ces messages peuvent avoir pour but de vous faire appeler un numéro de téléphone surtaxé, de vous faire signer un engagement frauduleux pour une « mise en conformité Informatique et Libertés (ou RGPD) » ou de collecter des informations sur votre organisation pour préparer une escroquerie ou une attaque informatique.
La CNIL n’est, bien entendu, pas à l’origine de ces messages. »
Discussion en cours :
Vous êtes bien le seul à croire que le règlement ePrivacy entrera en vigueur en mai 2018 !