A l’occasion de la Journée européenne de la protection des données, Eurogroup Consulting dresse un bilan de l’avancement des chantiers de mise en conformité à la privacy dans les organisations ainsi que de l’activité de la CNIL. Il s’agit de la 2e édition de cette journée après l’entrée en application du Règlement général sur la protection des données (RGPD).
Les entreprises et administrations concernées par ce projet ont glissé d’un régime déclaratif à un régime d’accountability. C’est la raison pour laquelle elles ont dû programmer de vastes et couteux chantiers de mises en conformité, le plus souvent démunies de schémas directeurs, de vision d’ensemble et d’outils efficients. Pendant ce temps, la CNIL a rapidement su démontrer sa capacité à imposer son rythme.
Point d’étape sur les chantiers de mise en conformité au RGPD et à la loi informatique et libertés
Aujourd’hui, les chantiers initiés dans les organisations sont encore loin d’être achevés.
La mise en conformité au RGPD ou à tout autre type de règlementation relative à la protection de la vie privée, devient vite un sujet épineux. Il est vrai que les acteurs concernés se trouvent souvent dépassés par l’ampleur de la tâche. A cet égard, ils dépensent une part non négligeable de leur budget dans ce qu’ils considèrent comme un puit sans fond. Un grand nombre de structures, pour la plupart de très grande taille, avaient choisi de prendre de l’avance sur ce chantier. Elles formulaient le vœux pieu d’arriver à une conformité à la date de l’entrée en application du règlement. Beaucoup d’entre elles ont vite déchanté.
La mise en conformité est globalement initiée dans les organisations
Sur la forme pourtant, la conformité semble parfaitement maîtrisée :
- nomination de Délégué à la protection des données (DPO)
- adresse mail ou point de contact pour permettre aux clients ou salariés d’adresser leurs demandes d’exercice de droits
- recensement des nouveaux projets de traitements de données personnelles dans l’entreprise
- mise en lumière, et à juste titre des Responsable de la sécurité des systèmes d’information (RSSI) et des Directeurs des systèmes d’information (DSI) pour les actions de mise en conformité et la sécurisation SSI des données personnelles
- démarrage de chantiers de cartographies et de recensement des traitements de données à caractère personnel
- cartographies des flux, des processus et mêmes des systèmes
Les problématiques de gouvernance et d’organisation constituent un frein pour atteindre un niveau de conformité satisfaisant
Le constat est plus nuancé dès lors qu’on s’attèle à y regarder de plus près. En effet, les organisations sont loin d’être arrivées au bout de leur chantier de mise en conformité. Elles restent loin d’avoir atteint un niveau de conformité satisfaisant. Autrement dit, elles ne sont pas en capacité d’assurer pleinement la protection de la vie privée des personnes concernées. En outre, elles ne peuvent pas totalement répondre à leurs demandes d’exercice de droit, notamment les plus complexes. Il arrive également que leurs interfaces web ne soient pas conformes en matière de gestion et de conservation des cookies.
Tout d’abord en raison d’une faible coordination entre les différents strates et métiers de l’entreprise. Les entreprises historiquement silotées dans leur organisation sont bien évidemment les premières à souffrir de ce problème.
La mise en place de schémas de gouvernance souvent inappropriés dans les organisations est une autre cause à la non atteinte du niveau de conformité souhaité. En effet, la répartition des rôles et responsabilités en matière de protection des données personnelles est souvent faite au détriment du bon sens tout en faisant l’objet d’âpres luttes politiques en interne. Plus inquiétant encore, la gouvernance en matière de protection des données personnelles peut, parfois, s’avérer inexistante sur des pans complets de l’organisation.
Les conséquences en bout de chaine ne doivent aujourd’hui pas être minimisées. Ainsi, on constate notamment que les réponses apportées aux demandes d’exercice des droits sont relativement parcellaires. En règle générale, les délais règlementaires ne sont pas tenus. Et cela qu’il s’agisse de réponses aux demandes d’exercice de droits ou en matière de notification de violation de données personnelles. De même, une partie non négligeable de contrats passés avec les prestataires ou partenaires n’intègrent pas encore toutes les clauses requises et efficaces en matière de protection des données personnelles.
La CNIL : une autorité de contrôle qui monte en puissance de manière progressive
Dès l’entrée en application du RGPD en mai 2018, la CNIL a connu une hausse de 32% en matière de plaintes par rapport à 2017. Cela s’explique par l’acculturation progressive des citoyens à la protection des données personnelles. L’autorité du contrôle a alors réalisé 310 contrôles qui ont donné lieu à 49 mises en demeures et 11 sanctions lors de cette première année.
Des contrôles et sanctions accrus
En 2019, la présidente de la CNIL annonce qu’elle compte muscler son action répressive. La sanction prononcée à l’encontre Google Inc. en est le parfait exemple, le montant de l’amende ayant atteint 50 millions d’euros.
La CNIL se donne comme nouvelle priorité le contrôle des fichiers de renseignement entamé en 2017 notamment :
- PASP (Prévention des atteintes à la sécurité publique)
- FSPRT (fichier des signalements pour la prévention de la radicalisation à caractère terroriste)
- GIPASP (Gestion de l’information et de la prévention des atteintes à la sécurité publique)
- EASP (Enquêtes Administratives liées à la Sécurité Publique)
- STARTRAC
La Commission a par exemple concentré ses inspections sur la légitimité des pièces justificatives demandées par les agences immobilières. Elle s’est également intéressée aux traitements relatifs aux recrutements de salariés et ceux liés au stationnement payant, sur lesquels elle devrait prochainement revenir.
Des typologies de plaintes récurrentes identifiées
Quand on se penche sur les principales plaintes reçues par la CNIL, , nous pouvons évoquer par exemple celles relatives aux :
- demandes d’exercice de droit
- visionnages à distance d’images issues des dispositifs vidéo
- catégories et à la fréquence des collectes de données traitées par les applications mobiles
- à l’installation de caméras dans des services de santé
Une orientation bienvenue lors des travaux de refonte de la loi informatique et libertés
Le RGPD définit, par ailleurs, le cadre et les obligations générales en matière de protection des données pour les états membres de l’Union Européenne (UE). Ces derniers ont néanmoins dû adapter et préciser leurs dispositions nationales. C’est notamment le cas pour la loi informatique et libertés en France. De cette façon elle s’est vu offrir un rafraichissement bienvenu par le gouvernement en quatre étapes successives. A cet égard la CNIL est intervenue de manière relativement efficace pour orienter le législateur dans la refonte du texte à travers ses célèbres « avis ». Cette refonte de la loi informatique et libertés a été l’occasion de remédier aux erreurs et omissions qui pouvaient être présentes initialement. Elle a aussi permis d’abroger des dispositions devenues sans objet comme l’a précisé la présidente de la CNIL, Marie-Laure Denis.
Une doctrine et des guidelines à destination des opérationnels particulièrement mises en avant
Toujours dans une volonté d’orientation mais cette fois-ci à destination des métiers et des opérationnels, la CNIL a également progressivement établi sa doctrine par la production de guidelines. Dans cet esprit elle a publié différents guides à destination des entreprises ou administrations concernées. En 2017, l’autorité mettait à disposition un pack de conformité pour les véhicules connectés particulièrement bien étayé. En 2019, la CNIL a travaillé sur des lignes directrices en matière de gestion des cookies et autres types de traceurs. Dès janvier 2020, elle publie d’ailleurs un projet de recommandations sur l’usage des cookies publicitaires. Dans le même temps, elle lance une consultation publique sur ce texte jusqu’au 25 février 2020 avant son adoption définitive. Enfin, Le RGPD a défini le cadre et les obligations générales en matière de protection des données pour les états membres de l’UE.
On le voit bien, en 2020 les DPO et les responsables de la conformité dans les organisations auront encore fort à faire pour arriver à bout des exigences du législateur et de l’autorité de contrôle.
Par Jean-Charles Lauga, Manager au sein de la practice Cyber
Maîtrise de la Cybersécurité et de la Privacy
La Practice Cyber intervient dans le cadre de la transformation numérique des entreprises, notamment en termes de prévention et de gestion des risques. Elle s’inscrit dans la mission d’accompagnement global et métiers portée par Eurogroup Consulting pour chacun de ses clients.
