Premier bilan depuis la mise en vigueur du RGPD

Premier bilan depuis la mise en vigueur du RGPD

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. 6 mois après, la CNIL dresse un premier bilan.

Six mois après l’entrée en vigueur du RGPD, la CNIL annonce avoir envoyé 1000 notifications de violation de données reçues soit environ 7 par jour. On découvre également que 15 000 délégués à la protection des données (DPO) ont été nommés contre 5000 correspondants informatique et libertés (CIL) avant le RGPD.

De plus, 6 000 plaintes ont été reçues, soit 34% de plus qu’en 2017 sur la même période. Ces plaintes permettent notamment aux organismes de repenser leur organisation au regard des modalités d’exercice des droits des utilisateurs, en particulier le droit d’accès.

D’autres initiatives sont en cours pour accompagner les professionnels, en particulier dans le domaine du traitement des données biométriques sur le lieu de travail.

Aujourd’hui, le traitement de ces données par l’employeur est interdit. Certaines exceptions sont cependant prévues par la loi Européenne, qui l’autorise uniquement s’il ne peut pas être fait autrement et dans le cadre législatif du pays membre. La CNIL a donc entrepris d’adapter le droit national à ces nouvelles règles en modifiant la loi Informatiques et Libertés.

Pour cela, l’organisme est en train de mettre en place un règlement type qui servira de cadre au traitement de ce type de données en France par les entreprises.

Par ailleurs, une autre initiative a été menée afin de clarifier le rôle du DPO.
Il ressort du bilan que son rôle, crucial dans l’application du RGPD, est actuellement peu défini et parfois mal compris. Afin de clarifier les choses, la CNIL a adopté deux nouveaux référentiels. Le premier, qui concerne la certification du DPO, fixe les conditions de recevabilité d’un candidat au travers d’une liste de 17 compétences et savoir-faire. Le second, le référentiel d’agrément, fixe les critères d’habilitation par la CNIL des entreprises au traitement des données privées.

Ces deux référentiels ont pour but de définir le rôle du DPO et d’encadrer les compétences qui lui correspondent.

 


Référence

https://www.cnil.fr/fr/rgpd-quel-bilan-6-mois-apres-son-entree-en-application
https://www.lemondeinformatique.fr/actualites/lire-rgpd-plus-de-1-000-notifications-de-violation-recues-par-la-cnil-73537.html


Jean-Christophe Pellat

Cert-XMCO