Bilan RGPD : + 27% de plaintes et 51,4 millions d’euros d’amendes

Bilan RGPD : + 27% de plaintes et 51,4 millions d’euros d’amendes
⏱ Lecture 4 min

Par Stéphane Astier et Gaspard de Laubier

Entré en vigueur le 28 mai 2018, le RGPD a récemment fêté ses deux ans d’application. À cette occasion, la CNIL dresse son second bilan par la publication de son rapport d’activité 2019. Le constat est simple : avec un nombre croissant de sollicitations, la protection des données personnelles pénètre l’ensemble des organisations qu’elles soient publiques ou privées.

1. Une protection européenne des données personnelles en plein essor


La CNIL a recensé au cours de l’année 2019 près de 14 000 plaintes, soit une augmentation de 27% par rapport à 2018.

Selon le rapport d’activité, cette augmentation est le fait d’un intérêt grandissant des personnes concernées (citoyens, consommateurs, usagers des services publics) pour les enjeux de protection de la vie privée. Ainsi, le site web de la CNIL aurait enregistré plus de 8 millions de visites en 2019. Cette tendance se confirme également avec les chiffres de la permanence téléphonique mise en place par la CNIL : près de 150 000 appels de la part de particuliers et professionnels soucieux de connaitre leurs droits et obligations.

Fait marquant par ailleurs, 20% de ces plaintes seraient des plaintes transfrontalières, preuve d’une coopération européenne plus importante en la matière. En effet, le RGPD a abouti à la mise en place d’un système inédit à l’échelle européenne, fondé sur des piliers décentralisés (les autorités nationales de protection des données, à l’instar de la CNIL) qui convergent au sein du CEPD (Comité Européen de la Protection des Données, anciennement G29) afin d’assurer une instruction et un traitement cohérents de ce type de cas transfrontaliers.

Dans son rapport, la Commission met également en exergue l’essor de la protection des données à caractère personnel au niveau international, le RGPD ayant été « perçu comme un signal fort de l’UE concernant la défense et le respect de son cadre juridique en matière de protection des données. Cette conception exigeante a notamment inspiré des développements législatifs dans plusieurs régions du monde »[1] comme au Japon, au Bénin ou encore en Australie.

2. Une adoption de nouveaux seuils de sanction à prendre en compte

L’année 2019 a également été marquée par un déploiement du volet répressif du RGPD.

Ainsi, suite aux 14 000 plaintes, 8500 ont fait l’objet d’un traitement approfondi par la Commission.

La CNIL procède à l’examen de l’objet de chaque plainte, demande éventuellement un complément d’information auprès du plaignant, puis le mode d’action le plus approprié est mis en œuvre. Elle peut ainsi intervenir auprès du responsable du fichier mis en cause pour :

  • lui rappeler ses obligations et l’inviter à prendre les mesures nécessaires ;
  • enquêter plus précisément sur les conditions de mise en œuvre du traitement (par exemple, la durée de conservation des données) ;
  • obtenir tout justificatif utile.

Au-delà des 14 000 plaintes traitées, la CNIL a augmenté substantiellement le nombre de ses contrôles : 7000 actes d’investigation ont ainsi été conduits par la CNIL en 2019, dont 300 dans le cadre de procédures formelles de contrôle, avec des vérifications sur place, en ligne, sur audition ou sur pièces pour s’assurer de la conformité des traitements à la loi Informatique et Libertés et au RGPD.

Ces contrôles ont abouti à la prononciation de sanctions par la formation restreinte, dont certaines ont été rendues publiques. Le montant total des amendes administratives s’élève ainsi à 51,4 millions d’euros. Le pouvoir d’injonction avec astreinte, nouveau pouvoir de la formation restreinte issu du RGPD, a été également « largement utilisé et a montré son efficacité » (pour en savoir plus sur les sanctions pouvant être prononcées par la CNIL, vous pouvez continuer votre lecture ici ).

Cette tendance devrait s’accentuer sur l’année en cours et l’année à venir avec de nombreux chantiers dans le viseur de la Commission : l’open data, l’encadrement des analyses d’impact ou encore les lois bioéthiques.

3. Identifier son niveau de conformité et anticiper

Deux ans après l’entrée en vigueur du RGPD, bon nombre d’organismes publics ou privés s’interroge sur leur niveau de conformité. La question n’est pas neutre en termes de gestion des risques ne serait-ce qu’au regard des chiffres publiés par la CNIL. Mais ce serait aborder le sujet d’une manière trop parcellaire.

En effet, durant ces deux dernières années, les sous-traitants fournisseurs de solutions ont été confrontés à des audits de leur client sur la thématique du RGPD. Les questions posées à cette occasion sont multiples : Pouvez-vous coopérer à la réalisation de notre analyse d’impact ? Communiquez-nous votre politique de sécurité des systèmes d’information ? Qu’elle est votre procédure en cas d’identification d’un incident de sécurité ? etc. etc.

Les exigences de ces mêmes clients au sein des appels d’offres ou de tout processus de sélection ont également été renforcées sur le terrain du RGPD. Là encore, le sous-traitant doit justifier de son niveau de maturité en la matière : répondre aux questionnaires RGPD, formaliser la documentation attestant des mesures de sécurité mises en œuvre peut rapidement devenir un vrai casse-tête si l’entreprise en s’est pas préparée en amont.

Côté responsable de traitement, les Délégués à la Protection des Données (DPO) récemment désignés sortent d’une période importante souvent dédiée à la cartographie des données, à l’établissement du registre des activités de traitement, au lancement d’analyse d’impact sur les traitements à risque ou encore au déploiement d’actions de sensibilisation et de formation aux enjeux de la protection de la vie privée. Après deux ans d’exercice, il est temps de faire le point sur l’avancement du plan d’action. Pour ce faire, il est utile de réaliser des contrôles internes - ou contrôles DPO - qui ont plusieurs vertus importantes. On citera notamment le fait de :

  • Poursuivre la sensibilisation des équipes
  • Assurer une logique de continuité dans la démarche de conformité
  • Faciliter les échanges sur les nouveaux projets impactant potentiellement la vie privée dans une logique anticipative de privacy by design
  • Documenter les zones de risques et points de progrès pour faciliter la fixation des priorités et la bonne gouvernance de l’organisme.

Et vous ? Où en êtes-vous ?

***

Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans leur démarche de conformité au RGPD. Que ce soit en appui du DPO ou en qualité de DPO externalisé le Cabinet Haas réalise ainsi tout type de mission en lien avec la protection de la vie privée avec deux départements spécialisés sur ces questions : le département Protection des données et le département cyber sécurité. Contactez-nous ici

 

[1] Rapport d’activité 2019, CNIL

Stéphane ASTIER

Auteur Stéphane ASTIER

Suivez-nous sur Linkedin