RGPD : la Cnil en quête d’un équilibre
Dans son rapport annuel 2018, la Cnil met en lumière sa recherche d’un équilibre entre l’accompagnement à l’appropriation du RGPD et le pouvoir de sanction qu’il lui confère.
Qu’il en soit question sous l’angle des blockchains, des algorithmes ou simplement de son appropriation par les entreprises, le RGPD est omniprésent dans le rapport annuel 2018 de la Cnil.
On trouve l’acronyme à 179 reprises, sans compter les quelques occurrences de « règlement européen ».
Son entrée en application remonte au 25 mai 2018. La transposition du texte dans le droit français est intervenue par une modification de la loi « informatique et libertés », additionnée d’une ordonnance destinée à améliorer la lisibilité du cadre juridique.
Des notions-clés restent toutefois à clarifier, de l’aveu du secrétaire général Jean Lessi. Notamment l’articulation des différentes bases légales pour la réalisation de traitements de données personnelles. Mais aussi la clarification des frontières entre les responsables de ces traitements, les responsables conjoints, les sous-traitants et les simples fournisseurs de solutions.
Ce travail juridique d’interprétation devra s’assortir d’outils pratiques d’aide à l’application.
En la matière, la Cnil prône la « pédagogie ». Le terme revient régulièrement dans son rapport, entre autres eu égard à son pouvoir renforcé de sanction.
Plus de plaintes… et plus de sanctions ?
« Sanctionner, c’est dissuader dans une optique de pédagogie préventive », ose la présidente Marie-Laure Denis. Et de promettre d’user dudit pouvoir « avec discernement », « en recherchant un point d’équilibre [avec] les intérêts des acteurs ».
En toile de fond, une augmentation des plaintes reçues par la Cnil : 11 077 sur l’année 2018, soit 32,5 % de plus qu’en 2017.
Plus d’un tiers ont trait à la diffusion des données sur Internet. Et parmi elles, environ 10 % sont relatives au déréférencement.
Le secteur du marketing et du commerce concentre 21 % des plaintes. La prospection par SMS se distingue, aux côtés de la conservation des données bancaires et de la mauvaise gestion des mots de passe.
En parallèle, les professionnels se montrent plus demandeurs en informations. La Cnil a, en particulier, recensé 189 877 appels au 01 53 73 22 22 (+ 22 % d’une année sur l’autre), 283 742 consultations de ses questions-réponses (+ 59 %) et 16 877 requêtes sur sa plate-forme « Besoin d’aide » (+ 15 %).
L’année 2018 a donné lieu à 49 mises en demeure, dont 13 rendues publiques. Sur les dix sanctions pécuniaires infligées, les plus importantes l’ont été en décembre : 400 000 € pour Uber et 250 000 € pour Bouygues Telecom. Darty avait été le premier à écoper d’une amende ; c’était le 9 janvier.
Les montants pourraient être tout autres sous le régime du RGPD : jusqu’à 4 % du chiffre d’affaires annuel mondial de l’organisation concernée.