RGPD : le bilan 6 mois après sa mise en place

Cela fait désormais six mois que le Règlement Général sur la Protection des Données (RGPD) a été officiellement mis en place, et il est temps de faire un premier point sur son impact. Ce règlement, qui vise à renforcer la protection des données personnelles et la transparence vis-à-vis des consommateurs, a radicalement changé la façon dont les entreprises collectent, stockent et gèrent les informations privées. Bien que les grandes entreprises aient pu s’adapter relativement facilement, beaucoup de PME et de TPE peinent encore à se conformer aux nouvelles exigences. Cela représente un défi majeur, car se mettre en conformité peut engendrer des coûts non négligeables, tant en termes de ressources humaines que d’investissements technologiques. Alors que la CNIL poursuit ses contrôles et évalue l’application du RGPD, il devient évident que ce règlement est loin d’être une simple formalité pour les entreprises, mais un réel processus d’adaptation à long terme.

RGPD en chiffre

On apprend dans un rapport publié par la CNIL que 24 500 organismes ont désigné un délégué à la protection des données. Plus de 600 notifications de violations de données ont été reçues, concernant environ 15 millions de personnes. On peut constater également un volume important de demande d’autorisation “santé” (plus d’une centaine de demande reçue, notamment en matière de recherche).
D’autres chiffres sont impressionnants, comme 3 millions de visites sur le site de la CNIL et plus de 15 000 téléchargements du modèle de registre simplifié proposé par la CNIL. Ces chiffres témoignent que les entreprises ont pris les mesures nécessaires pour s’adapter à ce règlement.

Les particuliers sont aussi concernés par le RGPD, depuis mai dernier la CNIL a reçu 3767 plaintes contre 2294 plaintes sur la même période en 2017. Cela représente une augmentation de 64% et montre que les citoyens se sont fortement imprégnés du RGPD. Cela prouve que l’exposition médiatique sur le RGPD a été une réussite.
Les autorités de protection européennes traitent actuellement en coopération plus de 200 plaintes transfrontalières, la CNIL est l’autorité concernée pour une majorité d’entre elles. La question qu’il y a derrière ces plaintes relève notamment du consentement des mineurs.

Le travail de la CNIL continue…

Quant à la CNIL, elle a soumis au Comité Européen de la protection des données la liste des traitements devant faire l’objet d’une analyse d’impact sur les données personnelles. Une fois que cette liste sera validée, elle sera publiée par la CNIL ce qui va permettre aux responsables de traitement de savoir plus précisément s’ils sont ou non soumis à cette obligation. De plus, la CNIL va adopter 3 référentiels relatifs à la gestion clients et prospects, aux ressources humaines et sur les vigilances sanitaires. Certains de ces référentiels seront portés par la CNIL au niveau européen. A savoir également que la certification “DPO” est en phase de finalisation.

Parmi les projets à venir de la CNIL, on retrouve l’élaboration d’un code de conduite spécifique concernant la préparation des entreprises en matière de recherche médicale et des infrastructures de type « Cloud ». Cette initiative vise à clarifier et encadrer les bonnes pratiques pour protéger les données personnelles dans ces domaines sensibles. Par ailleurs, un autre projet majeur est la mise en place d’un MOOC (Massive Open Online Course), une plateforme de formation en ligne gratuite, destinée à sensibiliser un large public aux principes fondamentaux du RGPD. Cette initiative devrait permettre à la fois aux entreprises et aux particuliers de mieux comprendre les enjeux de la protection des données personnelles et de se conformer plus facilement aux exigences du règlement.