Bilan des 4 mois de RGPD en France

La CNIL vient de publier son bilan après 4 mois de RGPD en France.

Parmi ces chiffres, nous pouvons souligner que:

  • 24 500 organismes ont désigné un DPO ce qui représente 13 000 DPO contre 5 000 CIL (correspondants informatique et libertés) avant le RGPD ;

 

  • Plus de 600 notifications de violations de données ont été reçues, concernant environ 15 millions de personnes – soit environ 7 par jour ;

 

  • 3767 plaintes contre 2294 plaintes sur la même période en 2017, qui constituait déjà une année record, ce qui représente une augmentation de 64% et témoigne du fait que les citoyens se sont fortement saisis du RGPD. Deux organismes ont saisi la CNIL de plaintes collectives: la Quadrature du Net (Google, Amazon, Facebook, LinkedIn et Apple) et l’association NOYB (Google).

Les autorités de protection européennes traitent actuellement en coopération plus de 200 plaintes transfrontalières et la France est autorité concernée pour une majorité d’entre elles. Ces plaintes soulèvent notamment des questions sur le consentement en général et notamment celui des mineurs.

Enfin la CNIL a soumis au CEPD dans le cadre du mécanisme dit « de contrôle de cohérence » la liste des traitements devant faire l’objet d’une analyse d’impact sur les données personnelles (AIPD). Une fois validée, cette liste sera publiée par la CNIL ainsi que des lignes directrices synthétiques permettant aux responsables de traitement concernés de savoir plus précisément s’ils sont ou non soumis à cette obligation.

La CNIL va prochainement proposer des nouveaux outils de régulation permis par le RGPD ou la loi modifiée :

  • L’adoption prochaine de 3 « référentiels » relatives à la gestion clients et prospects, les ressources humaines et les vigilances sanitaires.

 

  • Un « règlement-type » biométrie est en consultation depuis le 3 septembre. Il permettra de fixer un cadre exigeant et protecteur ;

 

  • Une première procédure de certification est en phase de finalisation : une consultation publique a été lancée et clôturée fin juin sur la certification « DPO » (176 contributions reçues). Les référentiels seront finalisés courant septembre ;

 

  • La CNIL portera au niveau européen certains packsvéhicule connecté ») afin de dégager une doctrine européenne qui pourrait être endossée par le CEPD (Comité Européen de la protection des données), ce qui constituera gage de sécurité pour les acteurs nationaux ;

 

  • Une dizaine de codes de conduite est en cours de préparation, portant notamment sur la recherche médicale et les infrastructures dites de « cloud »

https://www.cnil.fr/fr/rgpd-quel-premier-bilan-4-mois-apres-son-entree-en-application