Le 15 avril dernier, la CNIL a rendu public son bilan de l’année 2018. Elle a également, par l’intermédiaire de sa présidente, affirmé que la « période de tolérance » faisant suite à l’entrée en vigueur du RGPD, touche à sa fin.
1. La CNIL indique que l’entrée en application du RGPD a marqué une prise de conscience « inédite» des enjeux de protection des données auprès des professionnels et particuliers, ce qui s’est traduit par une augmentation considérable des plaintes (11 077, soit 32,5% de plus qu’en 2017) et demandes d’information (189 877 appels reçus, soit 22% de plus qu’en 2017) adressées à la CNIL.
La CNIL relève que les plaintes reçues pour l’année 2018 se concentraient sur la diffusion de données sur internet (33,7%), le secteur marketing/commerce (21%), les ressources humaines (16,5%), la banque et le crédit (8.9%) et le secteur santé et social (4.2%).
Elle a également observé plusieurs tendances :
- le visionnage à distance des images issues des dispositifs vidéo ;
- l’installation de caméras dans des unités de soin ;
- le souhait des clients de banques ou de services en ligne de contenus d’utiliser leur droit à la portabilité de leurs données ;
- une sensibilité accrue des citoyens concernant la sécurité de leurs données personnelles dans tous les secteurs ;
- des craintes d’utilisateurs de smartphones concernant les données auxquelles les applications mobiles peuvent avoir accès.
La CNIL a réalisé 310 contrôles en 2018, dont 204 sur place, 51 en ligne, 51 sur pièce et 4 auditions. 49 mises en demeure ont été adoptées et 11 sanctions prononcées par la formation restreinte, dont 10 sanctions pécuniaires.
2. La CNIL annonce que ses contrôles se concentreront, s’agissant de l’année 2019, sur les grandes thématiques suivantes :
- l’exercice des droits, notamment suite aux plaintes des personnes concernées ;
- la répartition des responsabilités entre les sous-traitants et les donneurs d’ordre ;
- les données des mineurs (publication de photos, biométrie et vidéosurveillances dans les écoles, recueil du consentement des parents pour les moins de 15 ans).
Elle a également affirmé que sa stratégie de contrôle serait centrée sur les plaintes reçues, afin de rester en prise avec les attentes des citoyens.
3. Enfin, ce rapport indique également que la CNIL poursuivra ses actions d’accompagnement (initiées en 2018), auxquelles s’ajouteront des actions de contrôle. La CNIL ajoute, par ailleurs, que dans les cas qui le nécessiteront, « des sanctions seront prononcées car la crédibilité du RGPD repose aussi sur une politique de contrôles et de sanctions efficace ».
Cette position laisse entendre que la « période de tolérance » arriverait à son terme, période au cours de laquelle la CNIL s’interdisait de sanctionner des organismes pour des manquements constatés aux nouvelles obligations, telles que prévues dans le RGPD.
Cette analyse est à rapprocher des propos de la Présidente de la CNIL, tels que rapportés par le site www.numerama.com, qui aurait affirmé qu’il était temps de « faire preuve d’une fermeté accrue », et ajouté : « c’est la fin d’une certaine forme de tolérance liée à la transition».
