Le RGPD donne aux citoyens plus de contrôle sur leurs données personnelles. Est concernée toute information relative à une personne physique identifiée ou identifiable, directement ou indirectement, par référence à un numéro d’identification (ex. : n° de Sécurité sociale) ou à un ou plusieurs éléments qui lui sont propres (ex. : nom et prénom, date de naissance, éléments biométriques, empreinte digitale, ADN…).
Défaut de sécurité
En France, c’est la Cnil (Commission nationale de l’informatique et des libertés) qui accompagne la mise en conformité. Entre le 25 mai et le 31 décembre 2018, elle a reçu « entre 1200 et 1300 notifications » soit plus de cinq par jour.
Elle a procédé à 14 sanctions administratives (dont 9 sanctions financières), pour des montants allant de 20 k€ à 250 k€. À une exception près, toutes ont pour origine un défaut de sécurité du système d’information (site internet non sécurisé, stockage en clair de mots de passe…).
32 000 organismes ont désigné un délégué à la protection des données (DPO), ce qui représente 15 000 personnes contre 5 000 CIL (correspondants informatique et libertés).
Manque de Transparence
345 plaintes transfrontalières sont par ailleurs en cours de traitement par les autorités de protection européenne. La Cnil est concernée par 187 cas et autorité chef de file pour 15 cas. Ces plaintes soulèvent des questions sur le consentement en général, et notamment celui des mineurs.
Trois organismes ont saisi la Cnil pour des plaintes collectives :
- la Quadrature du Net contre Google, Amazon, Facebook, LinkedIn et Apple au nom de 45 000 personnes,
- l’association None Of Your Business contre Google pour 10 000 personnes,
- et l’ONG anglaise Privacy International contre 7 entreprises procédant à de la collecte à grande échelle de données en ligne.
Dans les deux premières plaintes, les associations reprochent à Google un manque de transparence, des informations insatisfaisantes et une absence de consentement valable pour la personnalisation de la publicité. À ce titre, la Cnil a prononcé une sanction de 50 millions d’euros à l’encontre de Google.
Ce qui a changé
Le RGPD a supprimé les déclarations de fichiers à effectuer auprès de la Cnil. Seules certaines formalités préalables subsistent (demande d’avis pour les secteurs police/justice, demande d’autorisation pour certains traitements de données de santé notamment).
En contrepartie, toutes les administrations, sociétés et associations traitant des données à caractère personnel, mais aussi leurs prestataires et sous-traitants, sont pleinement responsables de la protection de ces données. Il leur appartient d’assurer la conformité de leurs traitements de données personnelles tout au long de leur cycle de vie et d’être en mesure de démontrer cette conformité.
Source : Association Mode d'Emploi
Écrire commentaire