Cela fait maintenant 6 mois que le Règlement général relatif à la protection des données, RGPD, est en vigueur et une ordonnance devrait bientôt être prise pour en faciliter la compréhension et l’application. Malgré la loi du 20 juin 2018 censée adapter le droit français à ce Règlement, le cadre juridique est encore trop dense pour être compris et mis en oeuvre simplement.
Parallèlement à l’annonce de la prochaine ordonnance RGPD, la CNIL dresse un bilan de l’activité liée à la protection des données depuis l’entrée en vigueur du Règlement.
Une ordonnance sur le RGPD, mais pour quoi faire ?
Dans sa communication, la CNIL passe rapidement sur l’annonce de la prochaine ordonnance en indiquant seulement qu’elle a rendu un avis sur le contenu du projet de texte le 15 novembre 2018. Aucune information supplémentaire n’est donnée sur le sens de l’avis ou sur les orientations de l’ordonnance.
C’est l’article 32 de la loi du 20 juin 2018 qui permet de modifier la loi par voie d’ordonnance. Lorsqu’on se penche sur cet article, on se rend compte que le champ des possibles est très vaste. Le Gouvernement peut réécrire « l’ensemble de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés afin d’apporter les corrections formelles et les adaptations nécessaires à la simplification et à la cohérence ainsi qu’à la simplicité de la mise en œuvre par les personnes concernées des dispositions qui mettent le droit national en conformité avec le [RGPD] ».
Après un Règlement et une loi nationale qui ont déjà mobilisé tous les acteurs sur la question de la protection des données personnelles, voilà qu’une ordonnance peut venir réécrire, une fois de plus, les dispositions légales dans un soucis de « simplification ».
Notons également que l’ordonnance permet de « mettre en cohérence avec ces changements l’ensemble de la législation applicable à la protection des données à caractère personnel ». On pense notamment aux articles du code de la santé publique relatifs au SNDS (système national des données de santé) qui mériteraient une mise à jour pour être en adéquation avec la nouvelle rédaction de la loi Informatique et libertés.
Le mystère qui entoure le contenu de l’ordonnance devrait bientôt se dissiper car elle doit être prise avant la fin de l’année.
Déjà 15 000 DPO en France depuis l’entrée en vigueur du RGPD
La CNIL dresse un bilan d’activité sur les 6 premiers mois d’application du RGPD en France. On apprend ainsi que le nombre de délégués à la protection des données (DPO) est de 15 000 alors qu’avant le Règlement, il n’existait que 5 000 correspondants informatique et libertés (CIL). Cela a donné lieu au signalement de 1000 notifications de violations de données reçues.
La CNIL a reçu 34% de plaintes en plus qu’en 2017 sur la même période : en tout, 6 000 plaintes ont été enregistrées depuis l’entrée en vigueur du RGPD.
L’accompagnement des professionnels dans la mise en conformité au RGPD est aussi au coeur des préoccupations de la CNIL. Ainsi, la Commission rappelle que deux référentiels de certification des compétences DPO ont été adoptés. Elle souligne que des consultations auront bientôt lieu avec les professionnels pour discuter de référentiels relatifs à la gestion de clients et prospects, à la gestion des impayés, aux ressources humaines.
Toutes ces actions sont nécessaires pour aider à appliquer les mesures liées à la protection des données personnelles qui peuvent, en pratique, être ardues à respecter de bout en bout.
