Pour rappel le principal objectif de ce règlement est de donner plus de droits à toute personne physique quant à l’utilisation qui peut être faite de ses données personnelles.
La personne physique
L’année 2018 a vu les médias s’emparer de ce sujet, permettant ainsi une diffusion plus large auprès des particuliers (les personnes physiques) de leurs droits, et de la façon de les exercer. Cela se traduit par le nombre de plaintes reçues par la CNIL, il y en avait 9700 à fin novembre, soit 34 de plus que l’année précédente.
A noter que des associations qui défendent les droits et libertés des citoyens, telle la Quadrature du Net, ont déposé des plaintes collectives, donnant ainsi encore plus de poids aux revendications auprès des géants de l’informatique.
La CNIL
La Commission Nationale de l’Informatique et des Libertés a une double mission :
- Pédagogie: elle aide tout responsable de traitement, et ses éventuels sous-traitants, dans son projet de mise en conformité au RGPD.
- Contrôle de la mise en application du RGPD, en traitant les réclamations des personnes physiques et en effectuant des audits auprès des responsables de traitement et des sous-traitants.
Quelques points à noter sur sa mission de pédagogie :
- 178 000 appels traités de janvier à novembre 2018.
- Augmentation de 40% des consultations de la Foire Aux Questions (FAQ) en ligne
- 7 millions de visiteurs du site de la CNIL, pour 4,4 l’année précédente.
- 130 000 téléchargements de l’outil de la CNIL pour réaliser une Analyse d’Impact.
- Des documents régulièrement mis à jour qui précisent certains points du règlement, par exemple une brochure à destination des PME-PMI
- De façon plus générale le site de la CNIL est un véritable outil de veille sur la question de la protection des Données Personnelles.
Et sur sa mission de contrôle :
- Traitement de 1000 notifications de violations de données, environ sept par jour depuis le 25 mai 2018.
- 8 sanctions administratives entre le 25 mai et le 31 décembre 2018, pour des montants allant de 20 K€ à 250 K€. A noter qu’à une exception près, toutes ont pour origine un défaut de sécurité du Système d’Information (site internet non sécurisé, stockage en clair de mots de passe, …)
- La 1ère sanction au titre du RGPD en France à l’encontre de Google, d’un montant de 50 millions d’euros, pour manque de transparence sur les finalités de collecte de données et absence de consentement.
Les responsables de traitement
C’est votre entreprise, votre collectivité, votre association, … Il est possible de voir l’état d’avancement par l’intermédiaire du nombre de Délégués à la Protection des Données (DPO) qui ont été déclarés auprès de la CNIL : 32 000 organismes l’avait fait à fin novembre 2018, ce qui représente 15 000 DPO (contre 5 000 CIL – Correspondants Informatique et Libertés). Ce CNIL est considéré comme positif par la CNIL, cela démontre une prise de conscience de la part des entreprises et une volonté de respecter ses obligations.
Les sous-traitants
Ce sont tous vos fournisseurs et intervenants informatique, comme Mismo par exemple. Les principales actions que nous avons menées, et qui sont à réaliser par tout sous-traitant :
- Nous avons nommé un DPO auprès de la CNIL, vous pouvez le joindre à l’adresse donnees.personnelles@mismo.fr.
- Nous avons modifié nos Conditions Générales de Ventes, elles sont accessibles sur notre site pour nous engager auprès de vous.
- Nous avons fait l’inventaire de tous nos sous-traitants et avons procédé à la signature d’un avenant.
- Nous avons procédé à une analyse de risques de notre propre Système d’Information, qui a amené à l’actualisation de notre PSSSI – Politique de Sécurité du Système d’Information – et à un plan d’actions pour améliorer cette sécurité.
- Et de façon plus générale nous avons mené notre projet de mise en conformité et le DPO est en charge du maintien de l’organisation mise en place.