Respect du RGPD : la Cnil passe à la vitesse supérieure

Le RGPD (Règlement européen général sur la protection des données personnelles) étant entré en vigueur le 25 mai 2018, l’heure est à un premier bilan. L’occasion pour la Cnil d’énoncer sa « stratégie de contrôle » en 2019.

Le respect des droits, la répartition des responsabilités entre responsable de traitements et sous-traitants et le traitement des données des mineurs seront les trois grandes thématiques sur lesquelles la Cnil (Commission nationale de l'informatique et des libertés) sera tout particulièrement attentive cette année, comme elle l’a annoncé en avril. Si, jusqu’ici, l’instance nationale n’a pas procédé à des sanctions en cas de non-respect de la loi, elle va désormais s’atteler à vérifier du respect des nouvelles obligations et des nouveaux droits issus du cadre européen, portant sur l’analyse d’impact, la portabilité des données et la tenue d’un registre des traitements et des violations et elle ne manquera pas de sanctionner financièrement (et de manière importante) une entreprise en cas de manquement.

Depuis un an, la Cnil a enregistré près de 11 000 plaintes en France et a mis en demeure plusieurs entreprises de se mettre en conformité avec la loi, dont les groupes de protection sociale Malakoff Médéric et Humanis. Les entreprises sont plus particulièrement concernées lorsqu’elles interviennent sur le marché de l’Union Européenne et si elles collectent et traitent des données à caractère personnel sur les résidents de l’Union Européenne, comme le font dans le cadre de leur exercice les assureurs et les cabinets de courtage. Pour rappel, les sociétés et organismes doivent fournir un accès à la nouvelle réglementation du RGPD sur leur site Internet via un espace dédié. En effet, l’internaute doit disposer d’un accès direct à ses informations personnelles et peut en demander la suppression ou la modification.

Concernant les trois grandes thématiques retenues cette année par la Cnil, 73 % des plaintes qu’elle a reçues en 2018 émanaient du non-respect de l’exercice d’un droit. Que ce soit à travers le RGPD ou la loi Informatique et Libertés, la Cnil entend s’assurer que les entreprises apportent des réponses claires et complètes, comme le prévoient les textes de loi. Quant à la répartition des responsabilités entre responsables de traitements et sous-traitants, elle rappelle que « le RGPD prévoit de nouvelles obligations pesant sur les sous-traitants et dont ils sont directement comptables. Orienter la politique de contrôle, notamment sur l’existence et le respect du contrat de sous-traitance, permettra de s’assurer de  la mise en œuvre concrète de ces nouvelles obligations susceptibles d’être à l’origine de nombreux manquements ».

Par ailleurs, la Cnil détermine ses missions de contrôle en fonction des réclamations et signalements qu’elle reçoit, des vérifications auxquelles elle procède après une clôture, une mise en demeure ou une sanction et des événements de l’actualité. Enfin, l’instance nationale travaille également avec ses homologues de l’Union européenne sur la bonne application du droit de la protection des données personnelles.