Bilan de l’année 2018 et enjeux pour l’année 2019 : ce que la CNIL réserve aux acteurs

La CNIL a publié le 15 avril 2019 son rapport d’activité pour l’année 2018 qui s’ouvre sur un constat optimiste puisque, depuis l’entrée en application du Règlement général sur la protection des données le 25 mai 2018 (RGPD), une prise de conscience générale des professionnels et des particuliers sur les enjeux de la protection des données personnelles a été constatée.

En pratique, cette prise de conscience s’est traduite par exemple par le dépôt de plusieurs milliers de plaintes auprès de la CNIL (11 077 plaintes reçues en 2018, soit une augmentation de plus de 32,5 % par rapport à 2017) essentiellement axées sur le sujet du déréférencement et des applications marketing. D’autre part, la CNIL met en avant le sujet de la sécurité des données qui représente le principal objet de ses contrôles et des sanctions prononcées par sa formation restreinte, essentiellement dans le secteur des assurances et des entreprises spécialisées dans le ciblage publicitaire. Sur les 10 sanctions pécuniaires, 7 sanctions concernent la sécurité des données personnelles et ont fait l’objet d’une publication.

Les enjeux pour l’année 2019 sont également présentés et se concentrent sur deux points.

• L’amplification des actions d’accompagnement de la CNIL auprès des acteurs pour continuer à les sensibiliser à la protection des données, les aider dans la mise en œuvre de leurs traitements à travers des outils proposés sur le site de l’autorité (formation en ligne MOOC, référentiel, règlement type, etc.).
• La dissuasion en concentrant ses contrôles sur les plaintes reçues, en particulier sur l’exercice pratique des droits des personnes concernées (qui représente 73,8% des plaintes), ainsi que sur les grandes thématiques issues de l’entrée en application du RGPD, comme la répartition des responsabilités entre les sous-traitants et les donneurs d’ordre ou encore les données des mineurs.
  Les principaux points du rapport de la CNIL ont été repris le même jour par sa présidente, Marie-Laure Denis, dans un entretien accordé au journal Le Monde notamment pour insister sur l’importance de ces contrôles qui seront effectués dans le courant de l’année.
  ***

La CNIL publie de nouveaux référentiels ouverts à la consultation publique

Conformément à l’article 11 de la loi Informatique et Libertés modifiée par la loi du 20 juin 2018, la CNIL a pour mission d’informer les personnes concernées et tous les responsables de traitements de leurs droits et obligations. La CNIL peut notamment adopter des référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel.

Ces référentiels actualisent les normes et autorisations uniques, adoptées avant le 25 mai 2018, à la lumière du RGPD.

Ainsi, la CNIL a adopté, le 11 avril derniers, deux projets de référentiels relatifs à la gestion des ressources humaines et à la gestion des alertes professionnelles. Ils font suite à ceux précédemment publiés par la CNIL en particulier concernant la gestion commerciale et la gestion des impayés publiés en novembre dernier.

Les projets publiés actualisent respectivement la norme simplifiée 46 relative aux traitements mis en œuvre pour la gestion du personnel et l’autorisation unique AU-004 relative aux alertes professionnelles.

• Concernant le référentiel applicable à la gestion des ressources humaines

  Ce référentiel reprend le fait que « dans le cadre de la très large majorité des traitements mis en œuvre dans la sphère travail, le consentement du salarié ne peut servir de base légale aux traitements mis en œuvre : il n’est en effet pas considéré comme librement donné en raison du « déséquilibre manifeste » entre les parties (voir considérant 43 du RGPD) résultant du lien de subordination existant entre le salarié et l’employeur. »

Cette doctrine de la CNIL a été adoptée par le RGPD et est désormais applicable à l’ensemble des pays de l’Union européenne. Elle figure désormais au sein du référentiel applicable aux traitements mis en œuvre pour la gestion des ressources humaines.

En outre, ce référentiel comporte des tableaux pratiques auxquels il convient de se référer en ce qui concerne la sécurité des traitements, les finalités et bases légales, ainsi que les données pouvant être traitées par finalité de traitement.

• Concernant le référentiel applicable aux alertes professionnelles

  Ce référentiel met à jour l’autorisation unique en l’adaptant aux nouvelles obligations du RGPD. Ainsi, si l’autorisation de la CNIL n’est plus nécessaire, le référentiel de la CNIL rappelle que la réalisation d’une analyse d’impact sur la vie privée est désormais requise préalablement à la mise en œuvre du traitement, compte tenu de sa sensibilité.

Le projet de référentiel rappelle notamment les règles applicables à l’information des personnes au moment du déploiement du traitement et les règles spécifiques relatives à l’information des personnes concernées par un signalement. En particulier, le référentiel rappelle la possibilité de faire exception à l’information des personnes faisant l’objet d’un signalement dans le cas où cela irait à l’encontre de la réalisation du traitement (art. 14.5.b du RGPD).

Ces référentiels sont ouverts à la concertation publique :

• pour le référentiel « gestion des ressources humaines », jusqu’au vendredi 31 mai 2019 ;
• pour le référentiel « alertes professionnelles », jusqu’au vendredi 10 mai 2019.
  ***
• De nouveaux outils à destination des acteurs

La DGOS publie un mémento de sensibilisation au RGPD à l’usage des directeurs d’établissement

La direction générale de l’offre de soins (DGOS) a publié fin mars un mémento à l’usage des directions d’établissements de santé afin de les sensibiliser aux impacts du règlement général européen relatif à la protection des données personnelles (RGPD).

Le guide reprend notamment les principes de protection des données personnelles, le rôle de DPO, la responsabilité des acteurs et le contrôle et la sécurité des données personnelles.

Ce guide vient compléter celui sur la cybersécurité publié par la DGOS fin 2017.

La CNIL met en ligne un MOOC intitulé « L’atelier RGPD »

La CNIL a mis en ligne une nouvelle formation ouverte à tous (MOOC) intitulée « L’atelier RGPD » qui propose aux professionnels de découvrir ou mieux appréhender le RGPD. Ce MOOC comporte plusieurs modules portant sur le RGPD et ses principes clés, les principes de protection des données personnelles, la responsabilité des acteurs et le rôle de DPO.

Il entre dans les missions de la CNIL de publier des outils permettant d’assurer une bonne compréhension par les acteurs des principes de protection des données personnelles.