Les professionnels, conscients de leurs nouvelles obligations
Du côté des professionnels, les obligations sont bien comprises et les démarches de mise en conformité progressives. La première étape étant la mise en place d’une gouvernance « Informatique et libertés », la CNIL dresse le constat de la nomination de DPO au sein de 24.500 organismes, soit 13.000 DPO (seulement 5.000 correspondants informatique et libertés désignés jusqu’alors).
S’agissant de la sécurité des données, la CNIL a reçu, à ce jour, 600 notifications de violations de données. Un constat qui doit alerter sur la nécessité de mettre en place des mesures appropriées de sécurité.
Les professionnels sont de plus en plus nombreux à prendre contact avec la CNIL qui relève plus de 45% d’appels téléphoniques sur les 7 premiers mois de 2018 et plus de 83% de consultations en ligne. Un volume important de demandes d’autorisation dans le secteur de la santé est aussi à noter.
Enfin, le site de la CNIL a vu son trafic fortement augmenter (3 millions de visites depuis mai 2018), notamment pour accéder aux outils de conformité qu’elle met à disposition du public (son modèle de registre simplifié a été téléchargé 150.000 fois).
Les particuliers, conscients de leurs droits.
La CNIL a constaté une « prise de conscience inédite » des personnes concernées par les traitements s’agissant des nouveaux droits qui leur sont conférés. Ceux-ci n’hésitent pas à saisir la CNIL de plaintes (64% en plus par rapport à la même période en 2017), la forte médiatisation autour de l’entrée en application du RGPD et de certaines affaires liées à la confidentialité des données, notamment sur les réseaux sociaux, étant vraisemblablement à l’origine de cette recrudescence.
Enfin, plus de 200 plaintes transfrontalières sont traitées actuellement, elles portent, pour la plupart, sur le consentement des mineurs. Mais ce sont aussi des organismes qui ont saisi la CNIL de plaintes collectives.
Les « CNIL » européennes coopèrent de manière engagée.
Depuis mai 2018, le Contrôleur européen de la protection des données (CEPD), qui remplace le G29 dont la mission est de coordonner l’action des différentes autorités de contrôle nationales, a défini 18 lignes directrices, sept supplémentaires étant en cours d’élaboration.
La CNIL lui a transmis la « liste des traitements devant faire l’objet d’une analyse d’impact » qui sera publiée ultérieurement de sorte à permettre aux responsables de traitement d’identifier les traitements à risques et de savoir s’ils sont soumis ou non à cette l’obligation.
De nouveaux outils proposés par la CNIL à venir.
La CNIL annonce enfin de nouveaux outils de régulation, parmi lesquels trois référentiels (gestion clients et prospects, ressources humaines et vigilances sanitaires) qui seront soumis à concertation auprès des professionnels concernés et, pour certains, portés par la CNIL au niveau européen. Sont aussi attendus, un règlement-type portant sur la biométrie, une procédure de certification DPO, l’adaptation de plusieurs packs de conformité, plusieurs codes de conduite, un MOOC pédagogique et de nouvelles fiches pratiques.
Autant d’outils destinés à réussir au mieux sa mise en conformité au RGPD !
