Quatre mois de RGPD vus par la Cnil : ça passe ou ça casse ?

« Effective ». C’est le mot choisi par la Cnil pour qualifier la mise en œuvre du RGPD.

Voilà quatre mois que le texte, principale composante d’un « paquet européen de protection des données », est entré en application. Sa transposition dans le droit français s’est faite par modification de la loi informatiques et libertés. Ce à travers la loi n^o 2018-493 du 20 juin 2018.

Dans son rapport annuel publié en avril, la Cnil avait émis des doutes sur cette procédure. Elle regrettait en particulier que la réécriture d’ensemble de la loi informatique et libertés fût renvoyée à une ordonnance ultérieure. Laquelle doit théoriquement être prise « dans un délai de 6 mois » après la promulgation de la loi n^o 2018-493. Soit au plus tard le 20 décembre 2018.

Sa crainte : que cette approche induise le lecteur en erreur, certaines dispositions du droit national formellement inchangées n’étant en réalité plus applicables. On parle là de problématiques de consentement, de base légale pour les traitements de données ou encore de portée des droits reconnus aux personnes.

Des DPO partout ?

La Cnil ne réaffirme pas cette inquiétude dans son bilan. Elle préfère mettre l’accent sur l’appropriation « progressive » du RGPD par les organismes professionnels. Notamment sur la question des DPO.

Des campagnes d’information directe ponctuées d’ateliers ont été menées en amont au sujet de ces référents « délégués à la protection des données personnelles », successeurs des CIL (correspondants informatique et libertés). Ils sont 24 500 organismes à en avoir nommé un… sachant que l’Insee recense 2,35 millions d’entreprises en France.

Les DPO font l’objet de plusieurs lignes directrices définies par le G29 (qui réunit la Cnil et ses homologues de l’UE) et reprises à son compte par le CEPD (Contrôleur européen de la protection des données).

Dix-huit lignes directrices ont pour l’heure été adoptées. Les sept en cours d’élaboration couvrent des aspects comme le champ d’application territorial, la vidéosurveillance et les transferts de données.

Objectif conformité

La transition vers le RGPD implique le passage d’un système de « formalités préalables » à une logique de « conformité continue ». Dans ce cadre, les traitements de données susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées doivent faire l’objet d’une analyse d’impact (PIA, pour « Privacy Impact Assessment »).

La Cnil a publié un logiciel open source pour faciliter la démarche. Elle a par ailleurs, au nom du mécanisme de « contrôle de cohérence », soumis la liste des traitements de données devant faire l’objet d’un PIA au CEPD, chargé de la valider.

Parmi les chantiers à court terme figure l’adoption de trois référentiels sectoriels ou « packs de conformité » destinés à accompagner l’alignement des professionnels sur les dispositions du RGPD. Relatifs à la gestion des clients et des prospects, aux RH et aux vigilances sanitaires, ils compléteront ceux déjà publiés dans des domaines comme les véhicules connectés et la « silver économie ».

L’ère RGPD signifie aussi la fin de l’activité de labellisation, au profit d’un nouvel outil de conformité : les certifications, que délivreront des organismes agréés. La première, relative aux DPO, est en phase de finalisation.

La Cnil prépare, en parallèle, un règlement-type pour encadrer l’usage de la biométrie. Le projet est soumis à consultation publique jusqu’au 1^er octobre 2018. Il doit fixer des exigences à l’usage de tels dispositifs par les employeurs et les administrations pour le contrôle d’accès à des locaux, à des appareils et à des applications informatiques.