3 ans après, quel est le bilan du RGPD ? Les rapports annuels de la CNIL le montrent : plus de DPO, plus de plaintes, des sanctions peu nombreuses mais importante. La CNIL se révèle dans un rôle d’accompagnement et d’analyse prospective, reléguant la sanction au dernier recours de sa panoplie d’outils sans pour autant la négliger. Enfin, la cybersécurité demeure un enjeu clé. On vous en parle sur ce blog.
Plus de DPO, une gouvernance des données améliorées
Cette année encore, selon le rapport annuel de la CNIL pour l’année 2020, le nombre d’organismes s’étant dotés d’un délégué à la protection des données a augmenté pour atteindre les 73 331.
25 494 Data Protection Officers ont ainsi été désignés, la plus grande part étant mutualisés.
Derrière la désignation d’un DPO, une prise de conscience croissante de la nécessité de protéger les données personnelles. A tous les niveaux puisque le rôle de ce personnage-clé est aussi de contribuer à faire émerger une culture informatique et libertés dans son organisme.
Les confinements se sont en outre sans doute révélés propices pour accélérer sur la mise en conformité RGPD de ses activités.
Malgré tout, le chemin à parcourir demeure encore bien long, comme en témoigne par exemple la mise en demeure par la CNIL d’une vingtaine d’organismes n’ayant pas encore respecté les lignes directrices entrées en vigueur au mois de mars.
Un nombre de plaintes stable mais élevé
Après deux ans d’augmentation, les choses tendent à se stabiliser. En 2020, la CNIL a tout de même reçu 13 585 plaintes, soit une augmentation de 62,5 % par rapport à l’entrée en vigueur du RGPD.
Quelles sont les situations poussant les individus à exercer leurs droits concernant leurs données personnelles ? D’après le laboratoire Linc, qui a analysé les e-mails et plaintes reçues par la CNIL entre mai 2016 et mai 2019, il y en a 4 :
- Quand leur réputation est menacée par des informations disponibles en ligne,
- Lorsqu’ils sont victimes d’intrusion dans leur sphère privée par de la prospection commerciale (la prospection commerciale représente 11 % des plaintes reçues en 2020) ;
- En cas de surveillance sur leur lieu de travail ;
- et enfin en cas d’inscription dans des fichiers nationaux (accidents bancaires, antécédents judiciaires.
Une politique favorisant l’accompagnement à la répression
La CNIL s’est rapidement positionnée dans un rôle d’accompagnement des organismes souhaitant mettre en conformité cette activité. Ce rôle s’est concrétisé par la production de nombreux livrables :
- Référentiels sectoriels (ressources humaines, relation clients…) ;
- recommandations sur des points spécifiques (cloud computing, gestion des cookies, …) ;
- Guides de bonnes pratiques (sur les sous-traitants ou la sécurité informatique).
En parallèle, l’activité répressive est plutôt vue comme une solution de dernier recours. En 2020, la CNIL n’a ainsi prononcé « que » 14 sanctions pour 247 contrôles. 11 amendes ont été prononcées pour un montant total de plus de 138 millions d’euros. Un chiffre impressionnant et parmi les plus élevés en Europe.
Quels enseignements tirer de cette politique répressive ?
- Une prise en compte de plus en plus significative des plaintes. En 2020, 40 % des contrôles découlent de plaintes ou de réclamations. A noter que dans certains cas, une plainte unique peut donner lieu à un contrôle.
- Désormais, le travail mené par l’association Signal Spam peut aussi influer la politique de la CNIL. Une société de prospection commerciale en a ainsi fait les frais.
- Les contrôles de la CNIL découlent également d’une veille sur l’actualité technologique ou d’un programme de thématiques prioritaires annuel.
- La coopération européenne est également une source de contrôles. En 2020, la CNIL a été concernée dans 400 cas et a été autorité chef de file dans une centaine de cas.
La cybersécurité, un enjeu toujours plus important
Le nombre de notifications des violations de données personnelles auprès de la CNIL est en augmentation constante. On en recense 2825 en 2020.
Cette croissance montre que les organismes s’approprient de plus en plus cette obligation légale désormais généralisée à tous les secteurs d’activité. Le respect d’une telle obligation suppose forcément d’instaurer des processus internes de détection des incidents de sécurité affectant des données personnelles.
Ces processus entraînent en interne une mise en lumière sans pareil des vulnérabilités d’un organisme et donc de son niveau de sécurité. S’il en est encore besoin, cela montre à quel point la sécurité informatique est devenu un enjeu critique ces dernières années.
Une sensibilité encore accrue :
- par les efforts des entreprises de se digitaliser… et de complexifier leurs parcs informatiques en se dotant de nouveaux outils indispensables ;
- par la multiplication des attaques informatiques ces dernières années. En particulier, les attaques par ransomwares.
Une autorité vigilante concernant les évolutions technologiques et sociétales
Comme certains de ses homologues, la CNIL témoigne d’une sensibilité autour de sujets technologiques, fussent-ils prospectifs. Elle s’est ainsi impliquée dans l’organisation d’une réflexion devant servir à anticiper sur les enjeux de demain et à formuler des recommandations adaptées.
- Le laboratoire Linc s’illustre ainsi régulièrement par ses articles de blog et la production de cahiers d’analyse prospectives.
- La CNIL s’attellent à la production de livres blancs pour démêler les enjeux associés à une thématique donnée et formuler ses premières recommandations. En 2020, la CNIL a ainsi publié un livre blanc sur les assistants vocaux. Elle s’attellera ensuite aux données de paiement.
- Le sujet des cookies et autres traceurs a fait l’objet de nombreuses discussions entre le régulateur et les parties prenantes. Entre révision des recommandations et périodes de moratoires, ces échanges ont conduit la CNIL à intervenir toujours plus profondément à ce sujet. Ses lignes directrices ne se content pas de poser les grands principes à respecter. La CNIL s’est faite prescriptrice y compris sur l’UX design des outils devant prendre en charge ce sujet.
Conclusion : 3 ans après, plus de maturité au regard du RGPD
Le bilan annuel de la CNIL témoigne d’une activité intense d’accompagnement des acteurs mais aussi de contrôles et de sanctions.
Tout ceci montre l’importance toujours plus grande de la protection des données personnelles. Un sujet que le grand public s’approprie de plus en plus, au gré également de prises de consciences médiatiques.
Pour les organismes, qu’ils soient responsables de traitement ou sous-traitants, il est donc temps d’implémenter une démarche de mise en conformité RGPD dans l’optique de pérenniser la confiance des clients et de sécuriser les activités
Article rédigé par Maxime Jaillet