La CNIL a réalisé un bilan du RGPD 4 mois après son entrée en application. Les indicateurs sont au vert, les plaintes et violations au rouge...
Depuis le 25 mai 2018, date d’entrée en vigueur du RGPD, le Règlement européen pour la protection des données personnelles, la CNIL n’a pas chômé… Les chiffres sont là pour le démontrer :
- Le site de la CNIL a reçu 3 millions de visites ;
- Le modèle de registre simplifié a été téléchargé 150 000 fois ;
- Les contacts avec le public, notamment les professionnels, ont progressé de 45 %, et les consultation des FAQ en ligne de 83 %.
Les chiffres publiés par la presse, qui font état de plus de 24 000 DPO déclarés, sont en revanche erronés :
- Si 24 500 organismes ont désigné un délégué à la protection des données ;
- cela représente 13 000 DPO (à rapprocher des 5 000 CIL).
Des plaintes et des violations
Les particuliers se sont emparé du RGPD. Ils ont déposé, depuis le 25 mai dernier, 3 767 plaintes auprès de la CNIL. Soit une progression de 64 % par rapport à la même période de 2017, où 2 294 plaintes avaient été enregistrées, ce qui déjà était un record !
Par ailleurs, la CNIL a enregistré 600 notifications de violations de données, soit environ 7 par jour, qui ont concerné environ 15 millions de personnes.
- On notera également que deux organismes ont saisi la CNIL de plaintes collectives : la Quadrature du Net (contre Google, Amazon, Facebook, LinkedIn et Apple) et l’association NOYB (contre Google).
- Quant aux autorités de protection européennes, elles traitent actuellement en coopération plus de 200 plaintes transfrontalières, qui soulèvent notamment des questions sur le consentement en général et notamment celui des mineurs. La France est autorité concernée pour une majorité d’entre elles.
Les initiatives à venir
La CNIL termine son rapport en évoquant les actions et initiatives à venir :
- L’adoption prochaine de 3 « référentiels » relatifs à la gestion clients et prospects, les ressources humaines et les vigilances sanitaires.
- Un « règlement-type » biométrie en consultation depuis le 3 septembre en vue de fixer un cadre exigeant et protecteur.
- Une première procédure de certification en phase de finalisation sur la certification « DPO ».
- Des discussions sectorielles dans le cadre de l’adaptation des packs de conformité (par exemple l’assurance).
- Le portage au niveau européen de packs (par exemple véhicule connecté) pour dégager une doctrine européenne.
- Une dizaine de codes de conduite en cours de préparation, portant notamment sur la recherche médicale et les infrastructures dites de cloud.
- Un MOOC pour se familiariser avec les principes fondamentaux du RGPD.
- Des fiches pratiques pour les collectivités locales.