• Premier bilan de la CNIL sur les violations de données personnelles

La CNIL a publié un premier bilan sur les violations des données personnelles depuis l’entrée en application du RGPD. Sur les 742 notifications, il en ressort que la majorité des notifications faites auprès de la Commission porte sur la confidentialité des données.

Ces notifications de violations proviennent surtout du secteur de l’hôtellerie, notamment via les outils de réservation. Enfin, 65% des violations de données trouvent leur origine dans des actes de piratage, des logiciels malveillants ou encore via la technique de l’hameçonnage.

La CNIL précise qu’elle adopte une approche répressive en cas de non-respect de l’obligation de notification dans les 72 heures (délai prévu à l’article 33.1 du RGPD). En revanche, elle privilégie l’accompagnement lors de la réception des notifications dans les délais impartis pour aider les professionnels concernés à prendre toutes les mesures visant à limiter les conséquences d’une violation.

• Adoption de deux référentiels relatifs à la certification de DPO

Conformément à l’article 11 de la loi Informatique et Libertés modifiée par la loi n° 2018-493 du 20 juin 2018, la CNIL peut désormais élaborer ou approuver les critères des référentiels de certification et d’agrément. La Commission a donc adopté, après consultation publique, deux délibérations en date du 20 septembre 2018 portant respectivement sur un référentiel de certification et un référentiel d’agrément.

Le référentiel de certification fixe notamment les conditions de recevabilité des candidatures ainsi que la liste des compétences et savoir-faire attendus pour être certifié en tant que DPO.

Le référentiel d’agrément fixe, quant à lui, les critères applicables aux organismes qui souhaitent être habilités par la CNIL à certifier les compétences du DPO sur la base du référentiel de certification précité.

En tout état de cause, la CNIL rappelle que la certification n’est pas obligatoire pour exercer les fonctions de délégué à la protection des données. Il s’agit d’un mécanisme volontaire permettant aux personnes physiques de justifier qu’elles répondent aux exigences de compétences et de savoir-faire du DPO prévues par le règlement.

• Mise en demeure de l’association « 42 » pour vidéosurveillance excessive

L’association « 42 » est une association à but non lucratif qui a créé en 2013 l’école « 42 », un établissement ayant vocation à former des étudiants dans le domaine de l’informatique et regroupant près de 800 étudiants.

Lors de contrôle réalisés en début d’année, la CNIL a pu constater que des caméras de surveillance installées dans l’école filmaient en permanence les espaces de travail des étudiants, les bureaux dédiés au personnel administratif ainsi que des lieux de vie telle que la cafétéria soulevant un problème de proportionnalité de la mesure.

En outre, les personnes filmées n’étaient pas correctement informées, contrairement à l’article 13 du RGPD et aux recommandations de la CNIL.

Enfin, la CNIL souligne que « la plupart des images issues de la vidéosurveillance étaient accessibles en temps réel aux étudiants sur le réseau intranet de l’école à partir de leur espace personnel ».

LA CNIL a dès lors mis en demeure la société 42 de mettre en conformité son système de vidéosurveillance dans un délai de deux mois. L’association devra revoir le caractère proportionné des mesures de sécurité mises en œuvre, limiter l’accès aux images et veiller à informer correctement les personnes concernées. La CNIL souligne ici la nécessité d’observer un caractère proportionnel entre d’une part la finalité poursuivie, la sécurité des locaux, et d’autre part l’atteinte à la vie privée des personnes surveillées.

Il convient de rappeler que la vidéosurveillance obéit à une réglementation particulière selon qu’elle intervient dans un milieu accessible au public ou non.