RGPD : la Cnil dresse un bilan de six mois d’application

PARIS, 27 novembre 2018 – Le 25 novembre, le Règlement général sur la protection des données (RGPD) a fêté ses six mois d’entrée en application. L’occasion pour la Cnil de publier un bilan d’étape sur son site internet et d’annoncer qu’une ordonnance devrait être prise avant la fin de l’année pour améliorer la lisibilité du cadre juridique mis en place.

Si 66 % des Français se disent plus sensibles qu’avant à la protection des données, la Commission nationale de l’informatique et des libertés (Cnil) continue à recevoir toujours davantage de plaintes. Tel est le constat dressé par la commission six mois après l’entrée en application du RGPD dans un bilan d’étape mis en ligne le 23 novembre sur son site internet. Professionnels comme particuliers cherchent à s’approprier le dispositif, mais la tâche n’est pas toujours facile. C’est pourquoi la lisibilité du nouveau dispositif sera améliorée avant la fin de l’année.

Les professionnels continuent de s’approprier le dispositif

Chargé de mettre en œuvre la conformité au RGPD au sein de l’organisme qui l’a désigné, le délégué à la protection des données (DPO) est au cœur du nouveau dispositif. 32 000 organismes ont ainsi désigné un DPO. Proportionnellement, cela représente environ 15000 DPO, contre 5000 correspondants informatique et libertés (CIL) avant le RGPD. Par ailleurs, depuis le 25 mai, la Cnil a reçu 1000 notifications de violations de données. Bien que le nouveau dispositif soit manifestement complexe, les publics cherchent à se l’approprier. En témoigne, la hausse significative des contacts avec les publics, notamment les professionnels, révélée par la Cnil : 246 000 consultations des FAQ en ligne (contre 178 000 en 2017), 178 000 appels depuis janvier 2018 et 7 millions de visites sur son site (4,4 millions en 2017).

Les particuliers sont plus sensibles à la protection des données

Du côté des particuliers, la Cnil a reçu 6 000 plaintes depuis le 25 mai. Dans le cadre de l’instruction de ces plaintes, la commission constate «qu’elles sont l’occasion, pour les organismes mis en cause, de repenser leur organisation notamment au regard de l’information des personnes et des modalités d’exercice des droits, comme le droit d’accès». 66 % des Français se disent plus sensibles qu’avant à la protection de leurs données personnelles selon un sondage Ifop réalisé par la Cnil en octobre. Pour la commission, cette hausse de la sensibilité s’explique surtout par des facteurs anxiogènes tels que la peur du vol de données et les scandales de piratages sur les réseaux sociaux. Face à ces inquiétudes, seuls 54% des Français estiment comprendre ce que le RGPD a changé bien que la connaissance du RGPD apparaisse globalement bonne (65% en ayant déjà entendu parler). D’où la nécessité d’améliorer la lisibilité du dispositif. Une fois mieux informés, 73% des Français interrogés considèrent en effet que le RGPD est efficace pour mieux protéger les données personnelles.

Coopération européenne

345 plaintes transfrontalières sont actuellement traitées par les autorités de protection européennes en coopération (187 font intervenir la Cnil). Le Comité européen à la protection des données (CEPD) s’est réuni en séance plénière à quatre reprises et a adopté 19 lignes directrices. Six lignes directrices sont encore en cours d’élaboration dont l’une notamment qui concerne la vidéosurveillance. La CEPD a également rendu un avis sur la proposition de Règlement et la proposition de Directive en matière d’accès aux preuves électroniques. À noter qu’elle a par ailleurs validé la liste française de traitements devant faire l’objet d’une analyse d’impact sur les données personnelles.

Accompagnement des professionnels

De nouveaux outils de régulation permis par le RGPD ou la loi modifiée sont en cours d’élaboration. La Cnil devrait ainsi adopter prochainement un règlement-type biométrie et être consultée sur cinq « référentiels » parmi lesquels figure un référentiel relatif aux ressources humaines. Celui-ci ne devrait toutefois pas opérer de changement radical mais s’inspirer de la doctrine établie par la commission depuis de nombreuses années. En application des deux référentiels déjà adoptés en matière de certification des DPO, la délivrance des premiers agréments est envisagée au premier semestre 2019. Et un « Massive Open Online Course » (MOOC) pour se familiariser avec les principes fondamentaux du RGPD devrait aussi être conçu durant le premier trimestre 2019.