RGPD : Quel bilan 6 mois après son entrée en vigueur ?
- On 7 décembre 2018
Le Règlement général sur la protection des données personnelles est entré en vigueur le 25 mai 2018.
6 mois après, retour sur l’application en pratique du règlement.
- Quelques chiffres
Depuis l’entrée en vigueur du RGPD le 25 mai 2018 :
- 32000 organismes ont désigné un délégué à la protection des données : ce qui représente 15000 DPO contre 5000 CIL (correspondants informatique et libertés) avant le RGPD,
- 1000 notifications de violations de données ont été reçues par la CNIL,
- 6000 plaintes ont été reçues par la CNIL,
- 130 000 téléchargements de l’outil PIA ont eu lieu pour réaliser une analyse d’impact sur la protection des données.
(source : chiffres publiés sur le site de la CNIL le 23 novembre 2018)
- Les mises en demeure
Depuis le 25 mai 2018, la CNIL a mis en demeure plusieurs sociétés de se mettre en conformité avec la loi Informatique et Libertés et le RGPD.
En cas de mise en conformité, aucune suite n’est donnée à la mise en demeure.
Dans le cas contraire, la Présidente saisit la formation restreinte de la CNIL qui peut prononcer une sanction.
- Mises en demeures pendantes
- Le 25 septembre 2018, la Présidente de la CNIL a mis en demeure des sociétés des groupes HUMANIS et MALAKOFF-MÉDÉRIC de cesser d’utiliser pour de la prospection commerciale des données personnelles collectées exclusivement afin de payer les allocations retraite. (Décision CNIL n°MED-2018-035 du 25 septembre 2018).
- Le 8 octobre 2018, la Présidente de la CNIL a mis l’association 42 en demeure de mettre en conformité son système de vidéosurveillance avec la loi Informatique et Libertés.
La Présidente de la CNIL a mis en demeure l’association 42 d’informer les étudiants de l’école 42 de l’existence d’un système de vidéosurveillance, de cesser de filmer en permanence les salles de cours et lieux de vie et de supprimer l’accès aux images aux étudiants sur le réseau intranet de l’école. (cf également mise en demeure de l’Institut des techniques informatiques et commerciales – Décision CNIL n°MED-2018-024 du 2 juillet 2018).
- Le 30 octobre 2018, la Présidente de la CNIL a mis en demeure la société VECTAURY qui utilise des SDK intégrés dans les applications de ses partenaires pour collecter les données de géolocalisation de leurs utilisateurs à des fins de ciblage publicitaire.
La Présidente de la CNIL considère que la société VECTAURY manque notamment à son obligation de recueillir le consentement des utilisateurs pour le traitement des données provenant des SDK.(Décision CNIL n°MED-2018-042 du 30 octobre 2018)
- Mises en demeure clôturées après mise en conformité
Les 25 juin et 8 octobre 2018, la Présidente de la CNIL a mis en demeure les sociétés FIDZUP et SINGLESPOT :
- pour d’une part, absence de consentement des personnes au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire,
- et, d’autre part,une durée de conservation excessive et une sécurisation insuffisante des données.(Décisions CNIL n°MED-2018-023 et n° MED-2018-043)
Les sociétés s’étant depuis mises en conformité, les procédures de mise en demeure ont été clôturées le 29 novembre 2018. (cf également clôture de la décision CNIL n°MED-2018-022 du 25 juin 2018 mettant en demeure la société TEEMO)
- Les traitements devant faire l’objet d’une analyse d’impact
Le 11 octobre 2018, la CNIL a publié la liste des traitements devant obligatoirement faire l’objet d’une analyse d’impact sur les données personnelles.(Délibération n° 2018-327 du 11 octobre 2018)
Il s’agit des traitements suivants :
- Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes,
- Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.),
- Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines,
- Traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés,
- Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire,
- Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle,
- Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre,
- Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci,
- Traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat,
- Traitements de profilage faisant appel à des données provenant de sources externes,
- Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.),
- Instruction des demandes et gestion des logements sociaux,
- Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes,
- Traitements de données de localisation à large échelle.
Les nouvelles obligations prévues par le RGPD constituent une évolution importante pour de nombreux acteurs économiques.
Le cadre juridique devrait de nouveau évoluer : une ordonnance devrait être adoptée avant la fin de l’année.
La CNIL devrait également proposer de nouveaux outils pour accompagner les entreprises dans leur mise en conformité (ex : référentiels relatifs à la gestion clients/prospects, aux ressources humaines et vigilances sanitaires, des codes de conduite sur les recherches médicales, le cloud…, des fiches pratiques pour les collectivités locales…).