RGPD : quel premier bilan 4 mois après son entrée en application ?

4 mois après l’entrée en application du RGPD, les indicateurs reçus par la CNIL témoignent du fait que les professionnels et les particuliers se sont emparés de ce nouveau cadre et que sa mise en œuvre est effective en France et en Europe.

Premier bilan factuel ou quantitatif

Du côté du cadre légal : une ordonnance avant décembre
La loi Informatique et Libertés et son décret d’application ont été modifiés afin de mettre en conformité le droit national avec le cadre juridique européen. Ces textes permettent la mise en œuvre concrète du Règlement général sur la protection des données (RGPD) et de la Directive « police-justice », applicable aux fichiers de la sphère pénale. La lisibilité du cadre juridique national sera améliorée par une ordonnance qui sera prise dans un délai de six mois.
Du côté des professionnels : une appropriation progressive
- 24 500 organismes ont désigné un délégué à la protection des données (personnes physiques ou morales) ; ce qui représente 13 000 DPO contre 5 000 CIL (correspondants informatique et libertés) avant le RGPD ;

- Plus de 600 notifications de violations de données ont été reçues, concernant environ 15 millions de personnes – soit environ 7 par jour depuis le 25 mai ;

- Un volume toujours important de demandes d’autorisation « santé » : plus d’une centaine de demandes reçues, notamment en matière de recherche.

- Une hausse significative des contacts avec les publics, notamment les professionnels : + 45% d’appels sur les 7 premiers mois de 2018 ; + 83% de consultations des FAQ en ligne ;

- 3 millions de visites sur le site de la CNIL depuis mai 2018 ;

- 150 000 téléchargements du modèle de registre simplifié proposé par la CNIL.

Les actions ou initiatives à venir

Bientôt de nouveaux outils de régulation
La CNIL va prochainement proposer des nouveaux outils de régulation permis par le RGPD ou la loi modifiée :
- L’adoption prochaine de 3 « référentiels » relatives à la gestion clients et prospects, les ressources humaines et les vigilances sanitaires. Ces référentiels actualisent la doctrine de la CNIL au regard des nouvelles exigences du RGPD en s’appuyant sur la doctrine établie depuis de nombreuses années (autorisations uniques, normes simplifiées, packs de conformité, etc.). Ces textes seront soumis à concertation auprès des professionnels concernés, cette démarche s’inscrivant dans une volonté de « co-construire les outils de régulation ». Certains de ces référentiels seront portés par la CNIL au niveau européen.

- Un « règlement-type » biométrie est en consultation depuis le 3 septembre. Il permettra de fixer un cadre exigeant et protecteur ;

- Une première procédure de certification est en phase de finalisation : une consultation publique a été lancée et clôturée fin juin sur la certification « DPO » (176 contributions reçues). Les référentiels seront finalisés courant septembre ;
Les discussions sectorielles se poursuivent dans le cadre de l’adaptation des packs de conformité (ex. Club « assurance ») ;

 La CNIL portera au niveau européen certains packs (« véhicule connecté ») afin de dégager une doctrine européenne qui pourrait être endossée par le CEPD (Comité Européen de la protection des données), ce qui constituera gage de sécurité pour les acteurs nationaux ;
- Une dizaine de codes de conduite est en cours de préparation, portant notamment sur la recherche médicale et les infrastructures dites de « cloud » 

- Un MOOC pour se familiariser avec les principes fondamentaux du RGPD

- Fiches pratiques pour les collectivités locales : publication sur le site internet de la CNIL de fiches thématiques spécifiques reprenant les principales problématiques (téléservices, administration électronique, etc.)

Pas encore à jour au niveau RGPD ?