La CNIL est satisfaite : Elle indique sur son site qu’aussi bien les professionnels et les particuliers se sont emparés de ce nouveau cadre  et que sa mise en œuvre est effective en France et en Europe.(point 2)

De plus, de nouveaux textes (point 1) et « packs » en libre utilisation sur le site de la CNIL  vont être publiés et téléchargeables (point 3).

1- Où en est on au regard des textes :

Du côté du cadre légal, on nous promet  une ordonnance avant décembre.

Il faut savoir que la loi Informatique et Libertés et son décret d’application ont été modifiés afin de mettre en conformité le droit national avec le cadre juridique européen. Ces textes permettent la mise en œuvre concrète du Règlement général sur la protection des données (RGPD) et de la Directive «police-justice», applicable aux fichiers de la sphère pénale.

La lisibilité du cadre juridique national sera améliorée par une ordonnance qui sera prise dans un délai de six mois.

2- Quel a été l’impact concrètement de ce texte qui fait peur à toute les entreprises …

2.1. Du côté des professionnels

La CNIL indique qu’elle a enregistré 24 500 organismes qui ont désigné un délégué à la protection des données (personnes physiques ou morales).

Cela représente 13 000 DPO contre 5 000 CIL (correspondants informatique et libertés) avant le RGPD.

Plus de 600 notifications de violations de données ont été reçues, concernant environ 15 millions de personnes  – soit environ 7 par jour depuis le 25 mai 2018.

La CNIL se félicite : Elle a reçu 3 millions de visites sur son site depuis mai 2018  et 150 000 téléchargements du modèle de registre simplifié proposé par la CNIL ont été faits.

2.2. Du côté des particuliers

Depuis le 25 mai 2018, la CNIL a reçu 3767 plaintes contre 2294 plaintes sur la même période en 2017, qui constituait déjà une année record. Cela représente une augmentation de 64% et témoigne du fait que les citoyens se sont fortement saisis du RGPD. Ceci est sans doute consécutif à un coup de projecteur médiatique important récemment sur la protection des données .

Deux organismes ont saisi la CNIL de plaintes collectives: la Quadrature du Net (Google, Amazon, Facebook, LinkedIn et Apple) et l’association NOYB (Google).

Les autorités de protection européennes traitent actuellement en coopération plus de 200 plaintes transfrontalières et la France est autorité concernée pour une majorité d’entre elles. Ces plaintes soulèvent notamment des questions sur le consentement en général et notamment celui des mineurs.

2.3. Du côté des autorités de protection des données

On constate une coopération européenne opérationnelle. Les membres du CEPD ont repris à leur compte les lignes directrices du G29 et ils travaillent à de nouveaux textes. Au total, 18 lignes directrices ont été adoptées et 7 sont en cours d’élaboration (notamment sur le champ d’application territorial, les transferts de données ou encore la vidéosurveillance).

La plateforme informatique de coopération entre autorités de protection « IMI » est effective depuis le 25 mai 2018.

Au-delà de la coopération « institutionnelle », on note de très nombreux échanges informels entre les services des différentes autorités qui permettent des gains de temps dans l’instruction des dossiers, note la CNIL.

Enfin la CNIL a soumis au CEPD dans le cadre du mécanisme dit « de contrôle de cohérence » la liste des traitements devant faire l’objet d’une analyse d’impact sur les données personnelles (AIPD). Une fois validée, la CNIL procédera à la publication sur son site des lignes directrices synthétiques permettant aux responsables de traitement concernés de savoir plus précisément s’ils sont ou non soumis à cette obligation.

3-Les actions ou initiatives à venir

A ce jour existe en consultation sur le site de la CNIL, un « règlement-type » biométrie  depuis le 3 septembre 2018. Il va permettre de fixer un cadre exigeant et protecteur.

La CNIL va prochainement proposer des nouveaux outils de régulation .

Vont être mis en ligne sur le site de la CNIL, 3 « référentiels » relatifs à la gestion clients et prospects, les ressources humaines et les vigilances sanitaires.

Ces référentiels actualiseront la doctrine de la CNIL au regard des nouvelles exigences du RGPD en s’appuyant sur la doctrine établie depuis de nombreuses années (autorisations uniques, normes simplifiées, packs de conformité, etc.). Ces textes seront soumis à concertation auprès des professionnels concernés, cette démarche s’inscrivant dans une volonté de « co-construire les outils de régulation ».

Par ailleurs, une première procédure de certification est en phase de finalisation : une consultation publique a été lancée et clôturée fin juin sur la certification « DPO » (176 contributions reçues). Les référentiels seront finalisés d’ici fin d’année. Les discussions sectorielles se poursuivent dans le cadre de l’adaptation des packs de conformité (ex. Club « assurance ») ;

Enfin, une dizaine de codes de conduite est en cours de préparation, portant notamment sur la recherche médicale et les infrastructures dites de « cloud », un MOOC pour se familiariser avec les principes fondamentaux du RGPD ainsi que  des fiches pratiques pour les collectivités locales ( publication sur le site internet de la CNIL de fiches thématiques spécifiques reprenant les principales problématiques (téléservices, administration électronique, etc.).

Telles sont les évolutions à venir sur ce dossier brûlant.

Article rédigé par
Me Nelly BESSET
Avocat en Droit Social
Titulaire des deux spécialités :
– Droit du travail
– Droit de la sécurité sociale et protection sociale