Fin de la « phase de transition », place aux contrôles de la CNIL

La CNIL a annoncé dans son communiqué du 19 avril 2019 que « l’année 2019 marque l’achèvement de la phase de transition entre l’ancienne législation et la nouvelle ». Cette phase de transition correspond en pratique à la mise en conformité des traitements de données personnelles au Règlement général de protection des données (RGPD).

Cela signifie que l’autorité de protection des données estime que les nouvelles obligations issues du RGPD, puis reprises par la nouvelle rédaction de la loi Informatique et Libertés [1], doivent être désormais appliquées par les responsables de traitement.

Ainsi, tous les acteurs mettant en œuvre des traitements de données personnelles peuvent être contrôlés à tout moment par la CNIL, y compris sur le respect des obligations prévues par le RGPD (analyse d’impact, tenue d’un registre des traitements, désignation d’un délégué à la protection des données, etc.).

Parmi ces nouvelles obligations, la CNIL en vise principalement trois dans son programme de contrôle : le respect des droits des personnes (a), le traitement de données des mineurs (b) et la répartition des responsabilités entre responsable de traitements et sous-traitants (c).

a) Le respect des droits des personnes
Dans son rapport d’activité 2018 et des enjeux 2019 [2], la CNIL a recensé 11 077 plaintes, dont 73,8% qui portent sur le respect des droits des personnes. La CNIL souhaite ainsi s’assurer de l’application effective des droits dont disposent les personnes concernées, qu’il s’agisse des droits déjà existants dans la loi Informatique et Libertés ou des nouvelles obligations issues du RGPD.

En pratique, l’autorité de protection des données vérifiera si « une réponse claire et complète est apportée aux personnes, dans le respect des délais prévus par les textes ». En principe, le délai prévu par le RGPD est d’un mois à compter de la réception de la demande. Ce délai peut être prorogé suivant les dérogations prévues par le règlement.

Pour rappel, le manquement à cette obligation peut être sanctionné par une amende administrative pouvant s’élever jusqu’à 20 000 000 euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

b) Le traitement de données des mineurs
La CNIL souhaite protéger de manière accrue les personnes considérées comme étant vulnérables, en particulier les mineurs, notamment pour contrôler les mesures mises en place dans les traitements les concernant (publication de photos sur les réseaux sociaux, biométrie et vidéosurveillances dans les écoles, etc.).

A titre d’exemple, les responsables de traitement doivent obtenir le consentement des mineurs de 15 ans dans le cadre d’une offre directe de services de la société de l’information (réseaux sociaux en particulier) [3].

c) La répartition des responsabilités entre responsable de traitements et sous-traitants
Certaines obligations ne sont pas visées directement au sein des plaintes reçues par la CNIL. Il n’en demeure pas moins que l’autorité de protection des données y accorde une importance dans la mesure où ces obligations doivent également être respectées, notamment la répartition des responsabilités entre responsable de traitements et sous-traitants.

Cette répartition est définie de manière précise par l’article 28 du RGPD qui impose de faire apparaître les obligations pesant sur le sous-traitant et sur le responsable de traitement au sein d’un contrat ou d’un acte juridique.

Avant l’entrée en application du RGPD, le responsable de traitement assumait seul tout manquement à la protection des données et ce, même en recourant aux services d’un sous-traitant. Désormais, le sous-traitant doit respecter ses obligations, comme la tenue du registre des traitements mis en œuvre au nom et pour le compte du responsable de traitement, la notification d’une violation de données personnelles au responsable de traitement ou encore le prévenir en cas de transfert de ses données personnelles hors Union européenne.

Les contrats conclus entre responsables de traitement et sous-traitants doivent donc être revus afin de s’assurer d’une part que ces contrats sont conformes au RGPD, et en particulier à son article 28, et d’autre part que le sous-traitant respecte ses nouvelles obligations.

En tout état de cause, la CNIL rappelle que les missions de contrôle auront également pour origines, en plus du programme annuel exposé :

• les réclamations et les signalements qui lui sont adressés ;
• les vérifications effectuées à la suite de clôture, de mises en demeure ou de sanctions ;
• les missions réalisées en fonction des sujets d’actualité.

[1] La loi Informatique et Libertés du 6 janvier 1978 a été modifiée par la loi du 20 juin 2018 puis par l’ordonnance du 12 décembre 2018 dont les nouvelles dispositions entreront en vigueur à compter du 1^er juin 2019.

[2] Sur ce point, nous vous renvoyons à notre article intitulé « Bilan de l’année 2018 et enjeux pour l’année 2019 : ce que la CNIL réserve aux acteurs » dans notre newsletter du 18 avril 2019.

[3] Article 7-1 de la loi Informatique et Libertés qui renvoie à l’article 8.1 du RGPD.