Actualités
LexCase publie régulièrement des articles sur les actualités les plus pertinentes, qu’il s’agisse de réglementations, de jurisprudences ou d’avis divers.
Un an après : RGPD bilan et perspectives.
Le RGPD est entré en vigueur le 25 mai 2018.
Le 30 mai 2019, un ultime décret d’application a été publié au JO. Celui-ci complète notamment les dispositions relatives aux contrôles, aux mises en demeure et aux sanctions pouvant être prononcées par la CNIL en cas de manquement.
Avec ce dernier décret, le cadre juridique national relatif à la protection des données personnelles est désormais enfin stabilisé.
En principe, dès le 25 mai 2018, toutes les entités traitant des données personnelles se devaient d’être conformes aux dispositions contraignantes du RGPD [1], sous peine d’être sanctionnées par les nouvelles amendes pénales et administratives extrêmement dissuasives (jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise).
Par conformité il faut notamment entendre :
- Avoir complété et mis à jour le registre des traitements [2] (ce qui implique en amont de cartographier les traitements) ;
- Avoir informé les personnes dont les données sont collectées [3] (mentions d’informations, politiques de confidentialité, clauses des contrats de travail mises à jour) et recueillir valablement leur consentement lorsque cela est exigé (un seul consentement par finalité) ;
- Respecter les droits des personnes de manière concrète [4] (en déployant des procédures internes de réponse aux droits d’accès et autres droits prévus par le RGPD dans les délais requis, ou encore en nommant un DPO qui sera le point de contact) ;
- Assurer la sécurité et la confidentialité des données traitées en mettant en place des mesures logiques et organisationnelles [5] (analyse d’impact, charte informatique, encadrement des transferts de données, rédaction des avenants aux contrats conclus avec les sous-traitants, déploiement de procédures pour traiter efficacement les violations de données) ;
- Organiser en interne auprès des collaborateurs des séances de formation ou de sensibilisation aux grands principes du RGPD [6] ;
- Réaliser des audits périodiques pour s’assurer du maintien de la conformité, et conserver toute la documentation mise en place permettant de démontrer la conformité au RGPD, dans le respect du principe d’accountability [7].
La majorité des obligations ci-dessus s’applique tant aux responsables de traitements qu’aux sous-traitants.
Or à l’époque en mai 2018, rares sont ceux qui avaient anticipé la nouvelle législation en déployant ces mesures de conformité nécessaires.
C’est majoritairement dans le secteur du e-commerce (clients B To C) et de la santé que la prise de conscience en termes de compliance avait commencé à avoir lieu. En raison du volume important et/ou de la nature sensible des données personnelles traitées, ce type d’entités a été davantage diligent dans la mise en place des mesures de conformité.
A l’inverse, en mai 2018, la grande majorité des entités françaises et européennes « découvraient » la réglementation en matière de données personnelles, pourtant existante depuis 1978. La plupart n’avait pas du tout anticipé le règlement, soit de bonne foi, par ignorance (la notion très large de données personnelles n’étant pas forcément bien maîtrisée) soit par pure négligence, préférant prioriser d’autres chantiers plus rentables.
Une année de transition marquée par une démarche d’accompagnement de la CNIL.
Jusqu’à aujourd’hui, la CNIL [8] était relativement tolérante à l’égard des entités non conformes, privilégiant systématiquement une démarche d’accompagnement, via des échanges constructifs aboutissant à la régularisation amiable, plutôt que l’application immédiate des sanctions financières en cas d’écart avec les dispositions contraignantes du RGPD.
Pour accompagner les organismes dans la compliance, la CNIL a régulièrement publié tout au long de l’année sur son site web des recommandations, des conseils et des outils concrets pour aider les entreprises à se mettre en conformité et à maîtriser les grands principes du RGPD.
Ainsi, la CNIL propose des modèles de registre des traitements [9], des exemples types de mentions d’informations [10], ou encore l’accès à un logiciel libre [11] pour réaliser des analyses d’impacts.
Elle publie des référentiels [12], des kits de bonnes pratiques [13] ou encore des fiches pratiques classées par thème pour encourager les entités à engager une démarche de conformité et les faire progresser dans leur maturité numérique [14].
La CNIL propose également des plans d’actions de mise en conformité par étapes, visant à permettre aux entités de toutes tailles (y compris les start-ups [15]) de mettre en œuvre la réglementation rapidement avec un minimum de moyens et de ressources.
La CNIL offre enfin la possibilité aux professionnels et aux DPO d’accéder à des formations en ligne gratuites (MOOC) sur des thèmes liés au RGPD, ses notions clés et ses grands principes.
La prise de conscience des entités collectant les données.
Grâce à ces nombreuses actions de la CNIL, et dans cette volonté permanente d’adopter une approche didactique, les entreprises semblent enfin saisir les enjeux de la protection des données.
Elles sont de plus en plus nombreuses à avoir compris l’intérêt concurrentiel d’insuffler une culture data dans leur processus, afin d’améliorer leur image tant à l’égard de leurs clients qu’à l’égard de leurs salariés auprès desquels elles collectent de nombreuses données.
Le fait que les plaintes en ligne puissent être déposées en quelques clics directement via le site web de la CNIL par toute personne s’estimant lésée dans ses droits semble également avoir grandement contribué à cette prise de conscience des personnes morales, désormais plus exposées au risque d’atteinte à leur image et de sanctions.
Sur les 12 derniers mois, la CNIL a ainsi recensé près de 12.000 plaintes en France et 145.000 au niveau européen [16], soit plus de 30% par rapport à l’année précédente. Elle est également destinataires des signalements anonymes dénonçant les pratiques d’une entreprise.
On peut considérer que plus le nombre de plaintes visant une entreprise déterminée sera enregistré, plus la CNIL sera intéressée à auditer cette dernière.
Les entreprises craignant d‘attirer l’attention de la CNIL auront donc mieux fait de respecter les droits des personnes (leurs clients, leurs salariés) et de répondre à leurs demandes d’exercice de droits [17] dans les délais requis.
Les contrôles et sanctions de la CNIL.
La CNIL peut effectuer des contrôles auprès de toute entité publique ou privée traitant des données et disposant d’un établissement en France ou concernant des personnes résidant en France. Elle peut également effectuer des vérifications dans les locaux de tous les sous-traitants de ces entités.
Les quelques exemples de sanctions financières prononcées par la CNIL et rendues publiques en 2018 (Google LLC [18], Bouygues Telecom [19], Uber [20], SERGIC [21], Alliance Française [22], etc.) se justifient principalement par la gravité des manquements constatés (atteinte à la sécurité des données, absence de recueil du consentement), par le volume de données touchées et la nature de celle-ci (données sensibles) ou encore par le manque de diligence de la société condamnée (absence de coopération, négligence ou mauvaise foi avérée).
La taille de l’entreprise est indifférente dans le prononcé des sanctions. Ainsi la CNIL a très récemment condamné à une amende de 20.000 € une TPE de 9 salariés qui avait mis en place (et maintenu malgré les demandes la CNIL) un dispositif de vidéosurveillance qui plaçait ses salariés sous surveillance constante [23]. A noter que la CNIL avait été saisie sur dénonciation de quatre salariés. C’est d’ailleurs souvent à l’occasion de départs conflictuels (licenciement) que les salariés font valoir leurs droits prévus par le RGPD à l’égard de leur employeur.
A l’origine des sanctions, la CNIL peut commencer par effectuer un simple contrôle en ligne via le site web de l’entreprise.
Pour les contrôles en ligne, les auditeurs de la CNIL commencent toujours par se rendre sur le site web de l’entité auditée, et effectuent le parcours client d’un utilisateur lambda afin de vérifier si celui-ci est bien informé des conditions de traitement (finalité, base légale, destinataires, transfert hors UE, etc.), si son consentement est recueilli dans les conditions exigées par la réglementation (éclairé, spécifique, univoque) ou encore si les conditions de sécurité sont respectées.
C’est pourquoi il est essentiel de s’attarder sur la conformité du site web, véritable vitrine virtuelle de l’entreprise. Les politiques de conformité (y compris concernant les cookies) doivent être régulièrement mises à jour et il est nécessaire de s’assurer de l’application effective et concrète en interne des mesures de protection annoncées par le responsable de traitement dans ces politiques.
En d’autres termes, reprendre via un simple copier-coller une politique de confidentialité existante chez un site concurrent pour donner l’illusion d’une conformité ne suffira pas à tromper les auditeurs de la CNIL. Ceux-ci s’attacheront à contrôler dans le détail la véracité des propos tenus dans ces politiques. Ils contrôleront la mise en œuvre effective par l’entreprise des mesures techniques, physiques et organisationnelles promises pour assurer la sécurité et la confidentialité des données collectées.
En général, des irrégularités constatées sur le site web (ou dans l’application mobile) laissent à penser que l’entité n’est pas conforme de manière globale. Le contrôle en ligne sera donc souvent suivi d’un contrôle sur convocation, sur pièces ou sur site, dans les différents locaux exploités par la société (siège et tous les autres établissements).
Les perspectives.
En définitive, après une année de tolérance de la part de la CNIL à l’égard des entreprises profanes en la matière, il y a fort à parier qu’à l’avenir, la CNIL fera preuve de plus de fermeté en cas de manquement à la réglementation.
La CNIL a fait preuve de bienveillance pendant cette année de transition, permettant aux entreprises d’assimiler progressivement les exigences du RGPD grâce aux nombreux outils mis à leur disposition pour faciliter la mise en œuvre du chantier. A partir de maintenant elles n’auront plus d’excuse en cas d’écart.
Si la CNIL a indiqué qu’elle poursuivrait sa démarche d’accompagnement et de sensibilisation des professionnels pour l’année à venir, elle a également affirmé dans une récente actualité qu’« il est essentiel que, désormais, les organismes appliquent complètement le nouveau texte » [24]. Il faut comprendre qu’à l’avenir, la CNIL tirera toutes les conséquences prévues par la loi en cas de manquements.
Le secrétaire général de la CNIL confirmait en mai dernier être arrivé « au terme de la période de transition », l’année 2019 faisant office « d’année charnière » [25].
Les effectifs de la CNIL allant également augmenter cette année, il est donc indispensable pour les entités retardataires d’entreprendre toutes les actions de mise en conformité sans attendre, dans le respect du principe d‘accountability prévu au RGPD.
Notes :
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
[2] Article 30 du RGPD, article 57 de la loi IFL.
[3] Articles 7, 12 à 14 du RGPD, articles 48, 82 de la loi IFL.
[4] Articles 15 à 22, 34 du RGPD et articles 48 à 51, 53, 55, 56 de la loi IFL.
[5] Articles 32 et 35 du RGPD et article 121 de la loi IFL.
[6] Article 39 du RGPD.
[7] Article 5 du RGPD et article 57 de la loi IFL.
[8] Commission Nationale de l’Informatique et des Libertés.
[12] https://www.cnil.fr/fr/gestion-des-ressources-humaines-et-des-alertes-professionnelles-la-cnil-lance-une-consultation
[17] Droit d’accès, de rectification, de limitation, etc.
[18] https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la
[19] https://www.cnil.fr/fr/bouygues-telecom-sanction-pecuniaire-pour-manquement-la-securite-des-donnees-clients
[20] https://www.cnil.fr/fr/uber-sanction-de-400000eu-pour-une-atteinte-la-securite-des-donnees-des-utilisateurs
[21] https://www.cnil.fr/fr/sergic-sanction-de-400-000eu-pour-atteinte-la-securite-des-donnees-et-non-respect-des-durees-de
[22] https://www.cnil.fr/fr/alliance-francaise-paris-ile-de-france-sanction-de-30000eu-pour-une-atteinte-la-securite-des-donnees
https://www.village-justice.com/articles/apres-entree-vigueur-rgpd-bilan-perspectives,31846.html