Village de la Justice Village-justice.com
RGPD : quel bilan 6 mois après son entrée en vigueur ? Par Anne-Clotilde Ledieu, Avocat.
mardi 4 décembre 2018
Adresse de l'article original :
https://www.village-justice.com/articles/rgpd-quel-bilan-mois-apres-son-entree-vigueur,30152.html
Reproduction interdite sans autorisation de l'auteur.

Le Règlement général sur la protection des données personnelles est entré en vigueur le 25 mai 2018. Six mois après, retour sur l’application en pratique du règlement.

1.Quelques chiffres.

Depuis l’entrée en vigueur du RGPD le 25 mai 2018 :

Source : chiffres publiés sur le site de la CNIL le 23 novembre 2018.

2. Les mises en demeure.

Depuis le 25 mai 2018, la CNIL a mis en demeure plusieurs sociétés de se mettre en conformité avec la loi Informatique et Libertés et le RGPD.

En cas de mise en conformité, aucune suite n’est donnée à la mise en demeure.

Dans le cas contraire, la Présidente saisit la formation restreinte de la CNIL qui peut prononcer une sanction.

Mises en demeures pendantes.

Le 25 septembre 2018, la Présidente de la CNIL a mis en demeure des sociétés des groupes Humanis et Malakoff-Médéric de cesser d’utiliser pour de la prospection commerciale des données personnelles collectées exclusivement afin de payer les allocations retraite [1].

Le 8 octobre 2018, la Présidente de la CNIL a mis l’association 42 en demeure de mettre en conformité son système de vidéosurveillance avec la loi Informatique et Libertés.

La Présidente de la CNIL a mis en demeure l’association 42 d’informer les étudiants de l’école 42 de l’existence d’un système de vidéosurveillance, de cesser de filmer en permanence les salles de cours et lieux de vie et de supprimer l’accès aux images aux étudiants sur le réseau intranet de l’école. [2]

Le 30 octobre 2018, la Présidente de la CNIL a mis en demeure la société Vectaury qui utilise des SDK intégrés dans les applications de ses partenaires pour collecter les données de géolocalisation de leurs utilisateurs à des fins de ciblage publicitaire.

La Présidente de la CNIL considère que la société Vectaury manque notamment à son obligation de recueillir le consentement des utilisateurs pour le traitement des données provenant des SDK. [3]

Mises en demeure clôturées après mise en conformité.

Les 25 juin et 8 octobre 2018, la Présidente de la CNIL a mis en demeure les sociétés Fidzup et Singlespot :

Les sociétés s’étant depuis mises en conformité, les procédures de mise en demeure ont été clôturées le 29 novembre 2018. [5]

3. Les traitements devant faire l’objet d’une analyse d’impact.

Le 11 octobre 2018, la CNIL a publié la liste des traitements devant obligatoirement faire l’objet d’une analyse d’impact sur les données personnelles. [6]

Il s’agit des traitements suivants :

Les nouvelles obligations prévues par le RGPD constituent une évolution importante pour de nombreux acteurs économiques.
Le cadre juridique devrait de nouveau évoluer : une ordonnance devrait être adoptée avant la fin de l’année.
La CNIL devrait également proposer de nouveaux outils pour accompagner les entreprises dans leur mise en conformité (ex : référentiels relatifs à la gestion clients/prospects, aux ressources humaines et vigilances sanitaires, des codes de conduite sur les recherches médicales, le cloud…, des fiches pratiques pour les collectivités locales…).

Anne-Clotilde Ledieu Avocat https://www.smartup-avocats.com

[1Décision CNIL n°MED-2018-035 du 25 septembre 2018.

[2Cf également mise en demeure de l’Institut des techniques informatiques et commerciales - Décision CNIL n°MED-2018-024 du 2 juillet 2018

[3Décision CNIL n°MED-2018-042 du 30 octobre 2018.

[4Décisions CNIL n°MED-2018-023 et n° MED-2018-043.

[5Cf également clôture de la décision CNIL n°MED-2018-022 du 25 juin 2018 mettant en demeure la société TEEMO.

[6Délibération n° 2018-327 du 11 octobre 2018.