RGPD : la CNIL prévient qu’elle sera désormais moins conciliante
La CNIL estime qu’il est temps de faire preuve d’une fermeté accrue, maintenant que le RGPD est en place depuis presque un an. L’autorité promet de faire toujours preuve de discernement, mais le temps de la mansuétude prend fin.
Le temps de l’indulgence face aux écarts éventuels qui ont pu être constatés vis-à-vis du règlement général sur la protection des données personnelles (RGPD) s’achève. Voilà le message qu’a voulu faire passer Marie-Laure Denis, la nouvelle présidente de la Commission nationale de l’informatique et des libertés (CNIL), alors qu’était remis le 15 avril son rapport d’activité pour 2018.
« C’est la fin d’une certaine forme de tolérance liée à la transition », a ainsi mis en garde la patronne de l’institution chargée de veiller à ce que l’informatique ne porte pas atteinte aux droits des personnes, citée par Acteurs Publics. Désormais, il faut s’attendre à ce que l’autorité administrative indépendante fasse preuve d’une bienveillance réduite en cas de manquements au RGPD.
Le texte a presque un an d’âge
Faut-il s’en étonner ? Le texte fêtera le 25 mai prochain sa première année d’activité. Il y a un an, la prédécesseure de Marie-Laure Denis, Isabelle Falque-Pierrotin, déclarait quelques jours avant l’entrée en application du RGPD que « dans notre politique répressive pragmatique, nous prendrons en compte les efforts et la bonne foi des uns et des autres ». Bref, pas question de tenir un « tableau de chasse ».
Pour 2019 et les années suivantes, il n’est pas non plus question d’aligner les fautifs. Mais alors que la pédagogie était privilégiée par rapport à la sanction, car il s’agissait alors d’accompagner toutes les entités (entreprises, administrations, collectivités, associations…) pour les responsabiliser et leur faire gagner en compétences, c’est désormais à un rééquilibrage auquel il faut s’attendre.
Crédibiliser le RGPD
Si la CNIL entend toujours faire preuve de discernement, comme elle l’explique en détaillant les enjeux à venir, elle doit hausser aussi le ton. C’est indispensable pour donner du poids à la protection des données personnelles et limiter et empêcher des dérives. « La crédibilité du RGPD repose aussi sur une politique de contrôles et de sanctions efficace », rappelle ainsi la CNIL.
Sera donc vérifié le plein respect des nouvelles obligations et des nouveaux droits issus du RGPD (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations). En cas de faute, des sanctions pourront alors être envisagées, mais en tenant compte de la gravité des faits, de l’activité et de la taille de l’organisme en cause, de sa bonne foi et de sa coopération..
C’est après ce travail que la CNIL déterminera la mesure correctrice la plus appropriée (clôture avec observations, mise en demeure, rappel à l’ordre, injonction sous astreinte, sanction pécuniaire). C’est ce qu’elle faisait déjà auparavant. Sauf que maintenant, les sociétés sont prévenues : « 2019 marque l’achèvement de cette phase de transition entre l’ancienne législation et le RGPD. »