Alors qu’il reste moins de deux mois pour se mettre en conformité avec le Règlement général relatif à la protection des données (RGPD), la plupart des entreprises et des administrations sont en plein bouillonnement. La nouvelle disposition qui fait office de couperet chez tous ceux qui traitent des données personnelles est la sanction pécuniaire qui peut aller, dans les cas les plus graves, jusqu’à 4% du chiffre d’affaires annuel mondial, ou 20 millions d’euros (le montant le plus élevé étant retenu). Prévue par l’article 83 du RGPD, cette nouvelle sanction est plutôt impressionnante en comparaison avec les 3 petits millions d’euros d’amende maximale qui sont actuellement prévus par l’article 47 la loi informatique et libertés.
Mais pour que cette menace soit effective, la CNIL doit avoir les moyens d’effectuer des contrôles des traitements de données personnelles : si cela était loin d’être gagné il y a quelques années, il semble désormais que les équipes se soient grandement renforcées à l’approche du RGPD.
Contrôle RGPD : la CNIL a multiplié ses équipes par cinq
Parmi les missions de la CNIL se trouve celle d’effectuer des contrôles a posteriori des traitements de données personnelles. Prévue par l’article 44 de la loi informatique et libertés, cette mission de contrôle constitue une pièce maîtresse du cheminement qui mène à la prononciation de sanctions.
Les amendes prévues par le RGPD devraient donc être prononcées à l’issue d’un tel contrôle. Or, il y a quelques années, les équipes de contrôle des traitements de données personnelles de la CNIL étaient bien maigres : seulement dix-sept contrôleurs étaient présents en 2013 d’après le rapport Pierre-Louis BRAS (voir la page 104).
Au vu de ce très faible effectif, si les responsables de traitements, entreprises comme administrations, pouvaient se penser à l’abri de tout contrôle, ce n’est peut-être plus le cas aujourd’hui. En effet, en juillet 2017, la CNIL a habilité quatre-vingt-neuf agents à effectuer des contrôles a posteriori. Soit cinq fois plus qu’en 2013 !
Pour avoir un ordre d’idée, en 2016, avant la nomination de tous ces contrôleurs, la CNIL a effectué 430 contrôles qui ont donné lieu à 82 mises en demeure et 13 sanctions : seulement 4 sanctions financières et publiques ont été prononcées, les 9 autres étant des avertissements (comme l’indique la page 5 du rapport annuel 2016).
Avec un nombre bien plus élevé d’agents, il faut s’attendre à une flambée des contrôles par la CNIL : le respect du RGPD est donc un enjeu inévitable.
Faut-il craindre les contrôles de la CNIL ?
La CNIL semble prête à se lancer dans un contrôle accru des traitements de données personnelles. Mais l’augmentation significative de ses moyens humains ne doit pas occulter ses moyens organisationnels et financiers qui entreront aussi en ligne de compte. La présidente de la CNIL l’affirmait encore récemment : « la CNIL manque de moyens face à ses nouvelles missions ». En effet, si ses équipes se renforcent, les traitements de données personnelles pouvant être contrôlés se multiplient aussi à toute vitesse.
Finalement, on imagine que le taux de traitements de données personnelles contrôlés restera faible par rapport au nombre total de traitements existants. De plus, si l’on reprend les statistiques de 2016, seulement 0,93% des contrôles faits par la CNIL ont abouti à des amendes.
Les responsables de traitements de données personnelles pourraient donc se sentir à l’abris des amendes prévues par le RGPD mais ils auraient tort de se penser entièrement hors de portée car le taux de sanction par amende, très faible en 2016, pourrait bouger avec l’entrée en vigueur du Règlement européen.
Pour tester votre préparation au RGPD, répondez à nos questionnaires !
