Protection des données personnelles : point d’étape sur le RGPD et perspectives
A l’occasion de l’Université des délégués à la protection des données personnelles (DPO), le 14 janvier dernier à Paris, la présidente de la CNIL, Marie-Laure Denis, a présenté un bilan d’étape de la mise en œuvre du règlement européen sur la protection des données personnelles (RGPD) et ses axes d’action pour 2020. Éclairage.
Organisée par l’Association françaises des correspondants à la protection des données à caractère personnel (AFCDP), l’Université des DPO est devenue au fil des années un rendez-vous incontournable. Elle a accueilli cette année plus d’un millier de personnes, ce qui est « la marque du développement du métier de DPO », a relevé Paul-Olivier Gibert, le président de cette association qui comptera bientôt 6 000 membres et qui est désormais « sollicitée pour porter la parole des DPO auprès des pouvoirs publics, en France et à l’étranger ».
Pédagogie, accompagnement et contrôles : l’activité intense de la CNIL
En ce qui concerne la mise en œuvre du RGPD en France, la présidente de la Commission nationale informatique et libertés (CNIL), Marie-Laure Denis, a présenté un bilan de de l’activité de ses services au cours de l’année écoulée. En 2019, « nous avons reçu 150 000 appels et plus de 17 000 requêtes électroniques, 14 000 plaintes, (…) nous avons prononcé 54 mesures correctrices dont huit sanctions structurantes pour l’entreprise, et 42 mises en demeure ».
La CNIL a élaboré et mis à disposition de nouveaux outils d’accompagnement à la conformité RGPD (dont la liste des traitements pour lesquels l’étude d’impact est obligatoire et ceux qui en sont exonérés), délivré pas moins de 15 000 attestations de suivi de son MOOC sur le RGPD, lancé un site destiné aux start-up et entreprises qui développent des applications. Ou encore conçu un guide à l’attention des collectivités territoriales, en prévision des élections municipales.
En parallèle à ces missions de contrôle et d’accompagnement des entreprises, « nous avons été auditionnés 33 fois par le Parlement ». Et, dans le cadre de la coopération transfrontalière, « nous sommes très mobilisés au sein du Comité européen de la protection des données », qui réunit toutes les autorités européennes en charge de la protection des données et qui a émis une vingtaine de lignes directrices depuis l’entrée en vigueur du RGPD, le 25 mai 2018.
Ciblage publicitaire, droit à la portabilité : les dossiers en cours
En ce qui concerne le ciblage publicitaire, la CNIL, qui a adopté en juillet 2019 des lignes directrices sur les cookies et autres traceurs, vient tout juste de publier son projet de recommandation pour éclairer les opérateurs sur les modalités pratiques de recueil du consentement de l’internaute avant tout pistage en ligne. Le document fait désormais l’objet d’une consultation publique pendant six semaines (jusqu’au 25 février), et l’autorité a prévu « une période de six mois après l’adoption des recommandations définitives pour se mettre en conformité ».
La présidente de la CNIL a également annoncé la publication d’un référentiel sur les durées de conservation des données. Enfin, « on constate de plus en plus de liens entre le droit de la concurrence et le droit de la protection des données », a-t-elle souligné et «nous allons travailler sur le droit à la portabilité des données pour lui donner de la chair », le stimuler pour « nourrir la concurrence ».
Les grands axes de travail pour 2020
Pour 2020, la CNIL (qui compte désormais plus de 200 personnes) s’est fixé trois grands axes de travail. Tout d’abord, renforcer la confiance dans le numérique en posant «un cadre sécurisant pour les entreprises et les consommateurs » et en se concentrant «sur les sujets les plus irritants pour nos concitoyens ». Ensuite, trouver un équilibre « entre notre pouvoir de sanction accru et notre offre d’accompagnement », «entre la pédagogie et le contrôle ». Et enfin, veiller à respecter « notre souci d’innover et d’être en pointe techniquement ». La CNIL qui observe « des problèmes de sécurité dans huit contrôles sur 10 », entend renforcer son « action pédagogique et répressive sur ce point ».
« Aujourd’hui, plus de 21 000 DPO ont été désignés, (…) vous avez un rôle éminent à jouer et la CNIL est à vos côtés », a déclaré sa présidente, avant d’annoncer le lancement d’une nouvelle enquête sur ce métier et la publication d’un guide du DPO.
Le RGPD à l’échelle européenne : quel bilan? quelles perspectives ?
Pour Olivier Micol, chef de l’unité “protection des données” à la direction générale de la Justice et des Consommateurs de la Commission européenne, le RGPD est « un succès collectif de l’Union européenne », car « l’objectif visant une meilleure prise de conscience de la protection des données personnelles a été atteint ». Autre motif de satisfaction : « les autorités de contrôle ont utilisé leur pouvoir de façon mesurée », et il n’y a eu « de chasse aux TPE et PME » qui ne l’auraient pas mis en œuvre. Un succès européen qui se traduit aussi, selon lui, par les discussions lancées à ce sujet avec de nombreux pays à travers le monde.
À mi-chemin entre un règlement et une directive dans la mesure où il laisse de nombreuses marges de manœuvre aux États membres, le RGPD a-t-il également permis d’harmoniser les pratiques au sein de l’UE ? Le bilan est plus mitigé. Même si le groupe d’experts européens qui a suivi la rédaction des lois nationales a « poussé les autorités de protection des données à adopter une interprétation des règles la plus commune possible », en dépit de « la flexibilité prévue par le règlement », en raison de « la volonté des États membres de conserver des marges de manœuvre », a pointé Olivier Micol, qui est président de ce comité d’experts mis en place par la Commission.
Un rapport d’évaluation de la mise en œuvre du RGPD au niveau européen est prévu cette année. «C’est une évaluation et non une révision », a-t-il souligné, « il ne s’agit pas de changer les règles mais de savoir où nous en sommes et, éventuellement, d’envisager des pistes d’améliorations à l’avenir ».