RGPD : la Cnil émet de sérieux doutes sur la lisibilité

Dans quelle mesure la Cnil est-elle attendue des Français sur le volet RGPD ?

La commission estime, dans son dernier rapport annuel, que la fréquentation de son site web en dit long : 4,454 millions de visites en 2017, soit 40 % de plus qu’en 2016.

Cette hausse de trafic s’explique principalement par les consultations de contenus sur la thématique, affirme-t-elle, statistiques à l’appui.

Son secrétaire général Jean Lassi évoque « une année de préparation active de la transition ». En l’occurrence, celle du cadre juridique issu de la loi informatique et libertés vers celui dessiné par le règlement européen.

Double lecture

La Cnil a rendu, le 30 novembre 2017, son avis sur le projet de loi destiné à mettre le droit national en conformité avec le « paquet européen de protection des données » dont le RGPD est la principale composante.

La commission adhère globalement au texte, non sans relever des limites. Elle regrette en premier lieu d’avoir été « saisie aussi tardivement » et de « ne pas avoir disposé du délai nécessaire pour un examen dans des conditions acceptables.

Son rapport annuel pose aussi la question des enjeux de lisibilité. Le projet de loi consiste à n’opérer que les modifications « a minima » nécessaires à la mise en œuvre du RGPD ; la réécriture d’ensemble de la loi informatique et libertés étant renvoyée à une ordonnance ultérieure.

La Cnil craint que cette approche induise le lecteur en erreur, certaines dispositions du droit national formellement inchangées n’étant en réalité plus applicables. On parle là des problématiques de consentement, de base légale pour les traitements de données ou encore de la portée des droits reconnus aux personnes.

Les PIA par les jouets

Le G29, qui réunit la Cnil et ses homologues de l’UE, a adopté diverses lignes directrices couvrant plusieurs aspects du RGPD. Notamment les analyses d’impact (PIA, pour « Privacy Impact Assessment »).

L’article 35 du règlement prévoit qu’une telle analyse doit être menée lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

La Cnil a produit deux exemples de PIA – un modèle générique au travers du cas d’un jouet connecté et un exemple complet pour un objet de bien-être – qui seront publiés à destination des responsables de traitement.

Un logiciel open source a par ailleurs été mis à disposition pour faciliter la réalisation de PIA. Il comptait « plus de 10 000 téléchargements » un mois après la publication de la première bêta en novembre 2017 (une version officielle est prévue pour cet été).

Des MOOC pour les DPO

Le G29 a également adopté des lignes directrices sur les DPO.

Pour accompagner ces délégués à la protection des données personnelles, successeurs des CIL (correspondants informatique et libertés), la Cnil a mené, à l’été 2017, des campagnes d’information directe auprès des organisations professionnelles. Elle affirme travailler à la transformation des ateliers les plus demandés en MOOC. Des webinaires viendront compléter l’offre.

Des documents ont par ailleurs été publiés concernant la notification des violations de données personnelles aux autorités et aux personnes concernées.

Les articles 33 et 34 du RGPD généralisent cette obligation qui ne s’applique pour l’heure qu’aux fournisseurs de services de communications électroniques déclarés auprès de l’Arcep (34 bis, loi informatique et libertés).

Il pose des exceptions, entre autres si les données affectées étaient chiffrées et la clé, non compromise ; ou si des mesures ultérieures sont prises, garantissant que le risque « n’est plus susceptible de se matérialiser ».