RGPD : 8 165 plaintes reçues par la CNIL depuis janvier 2019

RGPD : 8 165 plaintes reçues par la CNIL depuis janvier 2019

Et 20 000 DPO enregistrés

Avatar de l'auteur
Marc Rees

Publié dans

Droit

19/09/2019 2 minutes
16

RGPD : 8 165 plaintes reçues par la CNIL depuis janvier 2019

Le Règlement général sur la protection des données personnelles, entré en application voilà un an et presque quatre mois, sera l’un des sujets à l’honneur des toutes prochaines Assises de la Sécurité à Monaco. L’occasion de faire un bref point d’étape avec la CNIL.

Le RGPD, avec ses 99 articles précédés de 173 considérants, organise une mise à jour de la législation européenne en matière de protection des données personnelles. Un seul corps de règles pour l’ensemble des États membres, modulo plusieurs marges de manœuvre laissées à chaque pays. 

L’enjeu ? Combler les lacunes des textes face aux évolutions techniques (profilage, algorithmes, etc.), éviter le « forum shopping » et surtout assurer une protection équivalente des personnes physiques qu’elles soient belges, allemandes, françaises ou italiennes. À l’occasion, les droits des personnes physiques, les obligations des responsables de traitement et l’échelle des sanctions ont été revus de fond en comble.

La loi française a été adaptée à ce nouveau cadre le 20 juin 2018, texte suivi de deux décrets, l’un le 1er août 2018, l’autre le 30 mai 2019. La CNIL, fer de lance de ce chantier, a été fortement mobilisée depuis lors. Le 23 mai 2019, soit près d’un an après l’entrée en application du texte, elle dressait ce premier bilan en France : 

  • Plus de 11 900 plaintes
  • 2 044 notifications de violation de données
  • 19 000 délégués à la protection des données (DPO)

Contactée, la commission nous a fourni les derniers chiffres mis à jour (au 18 septembre 2019) :

  • 8 165 plaintes ont été reçues par la CNIL depuis janvier 2019, soit +10,5 % sur la même période en 2018
  • Plus de 20 000 DPO, représentant 60 000 organismes
  • 2 660 notifications de violations de données reçues depuis mai 2018, soit 600 de plus environ pour les quatre derniers mois

Enfin, elle nous indique avoir enregistré 50 000 inscriptions à son MOOC dédié aux principes clés du RGPD. Nous avions consacré un long dossier, divisé en trois parties, analysant le règlement européen, ligne par ligne : 

 

 

 

16

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Commentaires (16)


Marc tu as des infos sur le Jugement du Tribunal régional de Dusseldorf qui risque de faire très mal s’il est suivi ?

http://www.olg-duesseldorf.nrw.de/behoerde/presse/Presse_aktuell/20190826_PM_Fac…

 


Ha oui il faut un bon niveau d’Allemand là quand même.

Tu peux nous dire ce que ça dit en gros ?








gg40 a écrit :



Ha oui il faut un bon niveau d’Allemand là quand même.

Tu peux nous dire ce que ça dit en gros ?





Je te rassure je suis une bille en allemand ^^



Des commentaires lus, l’autorité de la concurrence allemande a mis en demeure (et à défaut de s’y conformer = sanction) Facebook parce qu’il traite les données des utilisateurs de Whatsapp et Instagram sans consentement explicite et libre, reprochant le mode  “tout accepter ou pas d’application”.



Néanmoins le Tribunal a infirmé la décision de l’autorité de la concurrence, relevant uniquement que ces pratiques ne violaient pas les droits des monopoles.



Problème, j’ai du mal à comprendre pourquoi l’autorité de la concurrence est venue chercher la réglementation sur la protection des données pour prendre une décision sur le terrain de la concurrence.



Par ailleurs et si je comprends bien, à suivre cette décision on peut imposer le mode “tout accepter ou pas d’application” au nom de la liberté économique, et si c’est le cas il y a un gros risque de battle entre deux droits fondamentaux, celui de la protection des données et celui de la liberté économique (et c’est précisément une des thèses revenant souvent en France pour envoyer sur les roses le RGPD).



Du coup, un éclairage de Marc serait sympa car il a probablement les contacts pour démêler ce choc entre liberté économique-concurrence et protection des données.



Et combien de plaintes traitées sur toutes celles reçues ?


Et combien de fois les yeux fermés allant jusqu’à des reports d’application parce que tel ou tel site a besoin d’un peu de temps pour finir (commencer) le chantier (qu’ils auraient pu anticiper à l’époque) sur les cookies et trackers par exemple ?



Je fais par exemple référence à la multitude de “bon, on a des cookies, vous pouvez accepter pour continuer sinon allez dans les paramètres du navigateur et au bout de quinze écrans vous aurez une solution qui ne satisfait même pas aux règles du rgpd….


Comment ça protection des données vs liberté économique ? Si leur modèle économique est illégal je vois pas en quoi ils pourraient se cacher derrière la liberté économique. Vraie question hein, je connais pas grand chose en droit mais s’ils gagnent avec le prétexte de la liberté éco alors que vu le RGPD ils volent les données de l’utilisateur sans son consentement, pourquoi pas monter un business de braquages ?








livvydun a écrit :



Comment ça protection des données vs liberté économique ? Si leur modèle économique est illégal je vois pas en quoi ils pourraient se cacher derrière la liberté économique. Vraie question hein, je connais pas grand chose en droit mais s’ils gagnent avec le prétexte de la liberté éco alors que vu le RGPD ils volent les données de l’utilisateur sans son consentement, pourquoi pas monter un business de braquages ?





C’est bien le risque de ce Jugement :)









gg40 a écrit :



Merci crocodudule





Avec plaiz <img data-src=" />









livvydun a écrit :



OK merci





Et re-avec plaiz ^^



En ce qui me concerne, je viens de faire 2 réclamations auprès de la CNIL.



La première concerne le référendum d’initiative partagée qui est géré par le ministère de l’intérieur. Cela fait plus de 2 mois que j’ai fait une demande de rectification de mes données personnelles et le délégué la protection des données personnelles est toujours en train d’examiner ma demande.



La seconde réclamation concerne l’AP-HP.&nbsp; Cela fait plus de 4 mois que j’ai

fait une demande d’accès à mes données personnelles se trouvant dans mon dossier médical et la

déléguée la protection des données personnelles est toujours en train

d’examiner ma demande.



En théorie, le délai légal est de un mois.



Avec cette forte augmentation des réclamations auprès de la CNIL, je crains que leurs délais de réponse s’allongent.


Pour la question des cookies et du report décrété par la cnil, on est devant une situation particulière. La cnil n’a pas mandat du gouvernement pour décider de la date d’application des lois. La loi prévoyait un délais de mise en conformité, ce délais est écoulé.



Il reste a voir si le délais décrété par la cnil à la moindre valeur juridique, si ce n’est l’assurance que les poursuites ne seraient pas engagée par la cnil. A priori, cela ne met pas un site qui ne serait pas en conformité à l’abri de poursuite directe (soit d’un concurrent, soit d’un utilisateur).


Ce n’est pas, hélas, aussi simple.



Tout ce qui est des droit de … est géré a partir de l’article 12. A partir du moment où vous êtes identifiable, le responsable du traitement a 1 mois pour vous notifier qu’il a pris votre demande en compte. Il a aussi 1 mois pour procéder à l’exécution de la demande, délais qui peut être prolongé de 2 mois. Il doit néanmoins vous informer que la prolongation du délais.



Dans tous les cas il doit vous confirmer que votre demande a été traité (ici dans le cas de la demande de rectification).



Il faudrait vérifier que le cas du référendum ne rentre pas dans le cadre de l’article 2 et ne soit pas une exclusion de la portée du RGPD (je n’ai pas vérifié).



Pour les données médicales, il y avait de la résistance, notamment sur la propriété intellectuelle des données. Vous pourriez récupérer vos noms et adresses, mais pas les comptes rendus opératoires. J’ai vaguement lu un truc la dessus (il y a plus d’un an) et je n’ai aucune idée de où cela en est. Il faudra probablement aller au procès pour avoir les premières décisions fermes.


j’espère que les Juges prendront la BONNE décision ? <img data-src=" />


En France, l’accès du patient à son dossier médical est un droit. La propriété intellectuelle n’est pas opposable. Les comptes rendus d’hospitalisation ou d’opération doivent être communiqués.



Ceci est valable quel que soit le support.



L’explication de la non réponse vient peut-être du fait que la demande doit être faite au directeur de l’hôpital ou directement au service concerné, pas au DPO.



Le délai de réponse est de 8 jours, sauf pour les données anciennes pour lesquelles il est de deux mois.