4 mois après l’entrée en application du RGPD, les indicateurs reçus par la CNIL témoignent du fait que les professionnels et les particuliers se sont emparés de ce nouveau cadre et que sa mise en œuvre est effective en France et en Europe.

24 500 organismes ont désigné un délégué à la protection des données (personnes physiques ou morales) ; ce qui représente 13 000 DPO contre 5 000 CIL (correspondants informatique et libertés) avant le RGPD. Plus de 600 notifications de violations de données ont été reçues, concernant environ 15 millions de personnes, soit environ 7 par jour depuis le 25 mai. C’est ce qu’indique la CNIL dans un premier bilan 4 mois après la mise en application de la réglementation.

Du côté des particuliers : Depuis le 25 mai dernier, la CNIL a reçu 3767 plaintes contre 2294 plaintes sur la même période en 2017, qui constituait déjà une année record. Cela représente une augmentation de 64% et témoigne du fait que les citoyens se sont fortement saisis du RGPD. Ceci est sans doute consécutif à un coup de projecteur médiatique important récemment sur la protection des données : RGPD, Cambridge Analytica, etc.

Deux organismes ont saisi la CNIL de plaintes collectives : la Quadrature du Net (Google, Amazon, Facebook, LinkedIn et Apple) et l’association NOYB (Google). Les autorités de protection européennes traitent actuellement en coopération plus de 200 plaintes transfrontalières et la France est autorité concernée pour une majorité d’entre elles. Ces plaintes soulèvent notamment des questions sur le consentement en général et notamment celui des mineurs.

Les actions ou initiatives à venir

La CNIL va prochainement proposer des nouveaux outils de régulation permis par le RGPD ou la loi modifiée :

– L’adoption prochaine de 3 « référentiels » relatives à la gestion clients et prospects, les ressources humaines et les vigilances sanitaires.  Ces référentiels actualisent la doctrine de la CNIL au regard des nouvelles exigences du RGPD en s’appuyant sur la doctrine établie depuis de nombreuses années (autorisations uniques, normes simplifiées, packs de conformité, etc.). Ces textes seront soumis à concertation auprès des professionnels concernés, cette démarche s’inscrivant dans une volonté de « co-construire les outils de régulation ». Certains de ces référentiels seront portés par la CNIL au niveau européen.

– Un « règlement-type » biométrie est en consultation depuis le 3 septembre. Il permettra de fixer un cadre exigeant et protecteur ;

– Une première procédure de certification est en phase de finalisation : une consultation publique a été lancée et clôturée fin juin sur la certification « DPO » (176 contributions reçues). Les référentiels seront finalisés courant septembre ;