RGPD : le programme de contrôle de la CNIL en 2019

Enfin, une partie 1
Accès libre
image dediée
Crédits : Marc Rees (licence CC-BY-SA 3.0)
Loi
Marc Rees

À peine son rapport annuel présenté, la CNIL dévoile les contours de sa stratégie pour 2019. Une année où les contrôles autour du règlement général sur la protection des données personnelles seront pleins et entiers.

Si, en 2018, la commission s’est surtout concentrée sur des dossiers pré-RGPD, les faits étant antérieurs à cette date, les derniers mois ont consacré la pleine et entière mise en application du texte. La sanction de 50 millions d'euros contre Google fin janvier en est le témoin le plus bruyant.

Dans un post ce jour, la CNIL a décrit les trois grandes thématiques qui concentreront son action pour l'année 2019.

Il s’agit d’abord du « respect des droits » issus du règlement européen. Une expression on ne peut plus large, tant ceux-ci sont nombreux : droit à l’effacement, droit de rectification, droit d’accès, droit à la portabilité des données… associés à de nouvelles obligations comme la rédaction d’une étude d’impact dans certains cas précis.

Rien qu’en 2018, cette question a représenté 73 % des plaintes reçues. Désormais, « la CNIL souhaite ainsi s’assurer de l’application effective des droits dont disposent les personnes concernées, qu’il s’agisse des droits déjà existants dans la loi Informatique et Libertés ou des nouvelles obligations issues du RGPD tel que le droit à la portabilité des données ».

La question sensible des mineurs 

Deuxième thématique, les mineurs. Cette question fait l’objet d’un traitement à part. Si le règlement considère que le consentement à un traitement de données doit être libre, spécifique, éclairé et univoque, lorsqu’il concerne un enfant, des conditions spécifiques s’ajoutent. En particulier, le mineur doit par principe être âgé d’au moins 16 ans.

Cependant, cette disposition prévoit une « marge de manœuvre » pour les États membres : dans une législation spécifique, ils peuvent abaisser ce seuil jusqu’à 13 ans. En France, la loi d’adaptation a opté pour un âge intermédiaire, 15 ans. En dessous, il est nécessaire de glaner le consentement de l’autorité parentale.

Sur ce point, la CNIL souligne recevoir « régulièrement des plaintes portant sur des problématiques diverses telles que la publication de contenus sur les réseaux sociaux ou la mise en œuvre de traitements biométriques dans les écoles ».

La responsabilité des sous-traitants

Enfin, le dernier thème sera celui de la répartition des responsabilités entre le responsable de traitements et ses sous-traitants. Le RGPD prévoit une série d’obligations pour chacun des acteurs de cet écosystème, obligations décrites dans le contrat de sous-traitance noué entre l’une et l’autre de ces personnes.

Ce programme annuel représente un quart de ses investigations. Dit autrement, la CNIL ne va évidemment pas s’interdire de sanctionner d’autres violations « RGPD » qui seraient étrangères à ces trois thèmes. Les contrôles sont dictés également par les plaintes et autres réclamations adressées à l’autorité de contrôle, par « les vérifications effectuées à la suite de clôture, de mises en demeure ou de sanctions » et enfin, par l’actualité, toujours pleine de surprises.

Une politique de contrôle adaptée, des réponses proportionnelles 

Pour l’année en cours, la CNIL va poursuivre sa logique d’accompagnement des professionnels dans la mise en conformité. Dans son rapport annuel, elle promet par exemple « de nombreuses actions de sensibilisation à destination des collectivités territoriales et tout particulièrement des petites communes ». Un guide sera ainsi publié ces prochains mois, accompagné de fiches thématiques. 

Toutefois, son action de contrôle va monter en puissance, bien plus qu'en 2018. « L’année 2019 marque l’achèvement de la phase de transition entre l’ancienne législation et la nouvelle, que la CNIL avait annoncée début 2018 ».

Désormais, « la CNIL vérifiera pleinement le respect des nouvelles obligations et nouveaux droits issus du cadre européen (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations) et tirera, au besoin, toutes les conséquences en cas de constatation de manquements ». Sous-entendu avec possibles sanctions à la clef.

La logique ne sera pas celle d’une politique uniquement répressive : « La CNIL continuera toutefois à faire preuve de discernement dans le choix des mesures correctrices (clôture assortie d’observations rappelant à l’organisme ses obligations, mise en demeure, sanction pécuniaire, injonction sous astreinte) ».

Cette apparente bienveillance est en fait dictée par le RGPD lui-même. Le règlement demande en effet aux autorités de contrôle de suivre cette logique de proportionnalité.

Les sanctions doivent ainsi être « effectives, proportionnées et dissuasives » et surtout adaptées à la nature, la gravité et la durée de la violation, ainsi qu’au nombre de personnes concernées affectées ou au dommage subi. Le texte demande également de prendre en compte l’élément intentionnel de la violation ou encore le degré de collaboration du responsable de traitement.

Toute une palette de mesures prévues à l’article 83 qui permettent à la CNIL et ses homologues de personnaliser la sanction à chaque cas.


chargement
Chargement des commentaires...