Village de la justice : Cinq mois après son entrée en application, quels premiers constats tire la CNIL de la mise en place du RGPD ?
Thomas Dautieu : "Concernant les professionnels, 24.500 organismes ont désigné un délégué à la protection des données (personnes physiques ou morales), ce qui représente 13.000 DPO, contre 5.000 CIL (Correspondants Informatique et Libertés) avant le RGPD.
Plus de 600 notifications de violations de données ont été reçues, concernant environ 15 millions de personnes – soit environ 7 par jour depuis le 25 mai. La CNIL reçoit un volume toujours important de demandes d’autorisation « santé » : plus d’une centaine de demandes reçues, notamment en matière de recherche. Nous constatons également une hausse significative des contacts avec les publics, notamment les professionnels : + 45% d’appels sur les 7 premiers mois de 2018 ; + 83% de consultations des FAQ en ligne. Enfin, plus 150.000 modèles de registre simplifié proposés par la CNIL ont été téléchargés.
- Thomas Dautieu
Concernant les particuliers, depuis le 25 mai dernier, la CNIL a reçu 3.767 plaintes, contre 2.294 plaintes sur la même période en 2017, qui constituait déjà une année record. Cela représente une augmentation de 64% et témoigne du fait que les citoyens se sont fortement saisis du RGPD. Ceci est sans doute consécutif à un coup de projecteur médiatique important sur la protection des données.
Deux organismes ont saisi la CNIL de plaintes collectives : la Quadrature du Net (contre Google, Amazon, Facebook, LinkedIn et Apple) et l’association NOYB (contre Google). Les autorités de protection européennes traitent actuellement en coopération plus de 200 plaintes transfrontalières et la France est l’autorité concernée pour une majorité d’entre elles. Ces plaintes soulèvent notamment des questions sur le consentement en général, et notamment celui des mineurs.
Enfin, concernant les autorités de protection des données, une coopération européenne opérationnelle est engagée :
Trois plénières du Comité Européen de la Protection des Données (CEPD) ont déjà eu lieu (en mai, juillet et septembre) ainsi que de nombreux sous-groupes de travail ;
Le CEPD a repris à son compte les lignes directrices du G29 et travaille à de nouveaux textes. Au total, 18 lignes directrices ont été adoptées et 7 sont en cours d’élaboration (notamment sur le champ d’application territorial, les transferts de données ou encore la vidéosurveillance) ;
La plateforme informatique de coopération entre autorités de protection « IMI » est effective depuis le 25 mai.
Au-delà de la coopération « institutionnelle », on note de très nombreux échanges informels entre les services des différentes autorités qui permettent des gains de temps dans l’instruction des dossiers.
Enfin la CNIL a soumis au CEPD dans le cadre du mécanisme dit « de contrôle de cohérence » la liste des traitements devant faire l’objet d’une analyse d’impact sur les données personnelles (AIPD). Une fois validée, cette liste sera publiée par la CNIL ainsi que des lignes directrices synthétiques permettant aux responsables de traitement concernés de savoir plus précisément s’ils sont ou non soumis à cette obligation."
La CNIL a-t-elle été (et est-elle toujours) beaucoup sollicitée par les directions juridiques pour sa mise en place au sein des entreprises ? Subsiste-t-il beaucoup de questionnements ?
"La CNIL est en effet très régulièrement sollicitée par les responsables de traitement sur les conditions d’application du RGPD, en particulier par les directions juridiques. Face aux très nombreuses sollicitations dont elle est l’objet, elle priorise les questions des DPO et celles portées par les « têtes de réseaux » c’est-à-dire les associations professionnelles, les organismes représentatifs, etc.
La CNIL n’a en effet pas les moyens de répondre aux questionnements individuels.
Concernant les questions elles-mêmes, celles-ci sont essentiellement relatives aux innovations portées par le RGPD (bases légales, sous-traitance, etc.)."
Quelle doit être maintenant la priorité des directions juridiques pour une bonne application du RGPD ?
"La situation des entreprises concernant la conformité avec la législation en vigueur en matière de protection des données personnelles est très hétérogène. Cela dépend de la taille des entreprises, de leurs activités, du degré de conformité avec la loi informatique et liberté qui était le leur avant le 25 mai dernier. Les priorités pour les directions juridiques varient en fonction de ces critères."
V.J : Du côté de la CNIL, quels sont maintenant les principaux objectifs ?
"Outre les deux référentiels en matière de certification de délégués à la protection des données, la CNIL va prochainement proposer des nouveaux outils de régulation permis par le RGPD, ou la loi informatique et libertés modifiée :
L’adoption prochaine de 3 « référentiels » relatives à la gestion clients et prospects, les ressources humaines et les vigilances sanitaires. Ces référentiels actualisent la doctrine de la CNIL au regard des nouvelles exigences du RGPD en s’appuyant sur la doctrine établie depuis de nombreuses années (autorisations uniques, normes simplifiées, packs de conformité, etc.). Ces textes seront soumis à concertation auprès des professionnels concernés, cette démarche s’inscrivant dans une volonté de « co-construire les outils de régulation ». Certains de ces référentiels seront portés par la CNIL au niveau européen.
Un « règlement-type » biométrie est en consultation depuis le 3 septembre. Il permettra de fixer un cadre exigeant et protecteur.
Les discussions sectorielles se poursuivent dans le cadre de l’adaptation des "packs de conformité". La CNIL portera au niveau européen certains "packs" afin de dégager une doctrine européenne qui pourrait être endossée par le CEPD, ce qui constituera gage de sécurité pour les acteurs nationaux.
Une dizaine de codes de conduite est en cours de préparation, portant notamment sur la recherche médicale et les infrastructures dites de « cloud » ;
Un MOOC pour se familiariser avec les principes fondamentaux du RGPD sera mis en place ;
Des fiches pratiques pour les collectivités locales : publication sur le site internet de la CNIL de fiches thématiques spécifiques reprenant les principales problématiques (téléservices, administration électronique, etc.)."