Dans un entretien exclusif à La Tribune, Marie-Laure Denis, la nouvelle présidente de la Commission nationale de l’informatique et des libertés (CNIL) annonce que l’autorité de contrôle « sera plus ferme envers les entreprises » qui ne respecte pas les dispositions du RGPD. Un an après l’entrée en vigueur du règlement européen sur la protection des données personnelles, la CNIL annonce la fin de la trêve et encourage les entreprises à accélérer leur mise en conformité.
Après le temps de la « patience et de la tolérance », la CNIL a décidé de renforcer les contrôles et fera « désormais preuve de fermeté » afin d’encourager les entreprises et les organisations à accélérer leur mise en conformité. Dans un entretien exclusif au journal La Tribune, Marie-Laure Denis estime que l’« action de régulation ne sera efficace que si nous actionnons à parts égales les deux leviers à notre disposition, c’est-à-dire la pédagogie d’un côté, et le contrôle avec éventuellement des sanctions de l’autre ».
Dans son bilan publié fin 2018, le gendarme de la donnée recensait sur l’année 9 700 plaintes reçues soit 34% de plus qu’en 2017 sur la même période. Dans La Tribune, la présidente confirme que « 310 contrôles ont été effectués en 2018. Ceux-ci ont débouchés sur 48 mises en demeure, dont 13 ont été rendues publiques. Et 11 sanctions, dont 9 pécuniaires, ont été prononcées ». Interrogée sur l’amende record infligée à Google de 50 millions d’euros en début d’année, Marie-Laure Denis estime que les « grands groupes et les géants du Net ont un devoir d’exemplarité et une grande responsabilité sociale. » Mais pour autant, la présidente prévient que les contrôles ne seront pas exclusivement dirigés à l’encontre des grandes entreprises et entend bien également contrôler les TPE ou PME qui « traitent de grands volumes de données » même si elle « ne sous-estime pas la complexité – financière et technique – de leur mise en conformité. »
Outre l’obligation d’introduire l’obligation pour les entreprises de rapporter la preuve de conformité, le RGPD introduit la notion de consentement libre et éclairé. Et « la sanction contre Google illustre la volonté de la Cnil d’exiger un consentement réellement éclairé (…) nous avons sanctionné le manque de clarté. »
Désormais, Marie-laure Denis insiste sur le fait que la « recherche d’un consentement libre fera l’objet de contrôles et éventuellement de sanctions. Par ailleurs, il faudra privilégier le privacy by design qui amène les acteurs à prendre en compte les enjeux autour des données dès la conception des services numériques. »
Pour l’année 2019, la présidente de la CNIL a également rappelé les 3 priorités pour le gendarme de la donnée.
« Le premier axe est le respect de tous les droits des individus comme le droit de rectification, d’opposition, d’oubli, le déréférencement, etc. Le deuxième est le contrôle des sous-traitants, tous secteurs confondus, qui doivent aussi être conformes, même s’ils n’ont pas affaire au consommateur final, en travaillant notamment avec les têtes de réseau dans chaque secteur. Le troisième axe est la protection des droits des mineurs sur Internet, sur les réseaux sociaux, notamment. »
GDPR : comment se mettre en marche ?
Comprendre les exigences du règlement, sensibiliser ses collaborateurs, mesurer le niveau de maturité de son organisation et donc allouer les bons budgets, un vrai casse-tête pour les entreprises.
De ce constat est né GDPR Rating, un outil d’auto-évaluation à destination des PME-ETI. Grâce à cette plateforme de notation, les entreprises obtiennent en ligne et en toute autonomie un état des lieux ainsi que les mesures de remédiation associées.
À la clé, une note de conformité que chaque organisation peut communiquer auprès de ses clients, ses prestataires et ses utilisateurs. Mais la possibilité d’aller plus loin et de bénéficier d’un accompagnement personnalisé selon les besoins de son organisation (sécurité, DPO, e-learning).