4 mois après son entrée en vigueur, premier bilan pour le RGPD
Quatre mois après son entrée en vigueur, la Commission nationale de l’informatique et des libertés (CNIL) vient de publier, sur son site, une série d’indicateurs qui permettent de dresser un bilan de la mise en œuvre du Règlement général sur la protection des données (RGPD). Quels sont les principaux enseignements que l’on peut tirer ?
Protection renforcée des données personnelles
D’abord, quelques rappels sur le contenu du RGDP. Il s’agit d’un nouveau cadre légal qui concerne la gestion des données. Il a pour but de renforcer les droits des personnes, avec par exemple la création d’un droit à la portabilité des données personnelles et des dispositions pour les personnes mineures. L’idée de ce dispositif est aussi de responsabiliser les professionnels qui gèrent des données. Enfin, il s’agit d’établir une coopération entre les autorités de protection des données.
Les professionnels recrutent
4 mois après la mise en application du RGPD, plusieurs entreprises ont eu recours à un personnel qualifié pour mettre en œuvre le nouveau dispositif. Ainsi, 24 500 organismes ont choisi un délégué à la protection des données (DPO) ; ce qui représente 13 000 DPO contre 5 000 CIL (correspondants informatiques et libertés) avant le RGPD, donc une forte hausse.
Depuis 25 mai 2018, la Commission nationale de l’informatique et des libertés a été très sollicitée. Plus de 600 notifications de violations de données envoyées par des professionnels ont été reçues par l’organisme, concernant à peu près 15 millions de personnes, soit environ 7 par jour.
La CNIL très sollicitée
Pour les professionnels, comme les particuliers, on a pu noter un besoin fort de s’informer sur le nouveau cadre légal. Ainsi, 3 millions de visites ont été enregistrées sur le site de la CNIL ces quatre derniers mois. Mais aussi une hausse de 45 % d’appels sur les 7 premiers mois de 2018 et une progression de 83 % des consultations des FAQ en ligne. La CNIL a aussi enregistré 150 000 téléchargements du modèle de registre simplifié.
Les particuliers se sont aussi emparés du dispositif. Depuis la mise en application du RGPD, la CNIL a reçu 3 767 plaintes contre 2 294 plaintes sur la même période en 2017, qui constituait déjà un record. Cela indique une hausse de 64 % et montre que les citoyens se sont appropriés le RGPD.
À noter que deux structures ont saisi la CNIL de plaintes collectives : la Quadrature du Net contre les GAFA (Google, Amazon, Facebook, LinkedIn et Apple) et l’association NOYB contre Google.
Une coopération européenne efficace
Le dispositif du RGPD s’applique à l’échelle de l’Union européenne. Une autorité a été mise en place : le Contrôleur européen de la protection des données (CEPD). Deux réunions du CEPD se sont déjà tenues (en mai et en juillet) ainsi que de nombreux sous-groupes de travail. Une plateforme informatique de coopération entre autorités de protection « IMI » est opérationnelle depuis 4 mois.
De nouveaux outils à venir
La CNIL va proposer des nouveaux outils de régulation dans le cadre du RGPD. L’adoption prochaine de 3 « référentiels » relatives à la gestion clients et prospects, les ressources humaines et les vigilances sanitaires. Un « règlement type » biométrie est en projet depuis le 3 septembre.
Les discussions sectorielles se poursuivent dans le cadre de l’adaptation des packs de conformité. La CNIL portera au niveau européen certains packs (« véhicule connecté ») afin de dégager une doctrine européenne qui pourrait être endossée par le CEPD (Comité européen de la protection des données), ce qui constituera gage de sécurité pour les acteurs nationaux.
