RGPD : la Cnil observe une « appropriation progressive » des professionnels

Avant la fin du mois de mai dernier, on ne comptait en France que 5000 correspondants informatique et libertés (CIL). Aujourd’hui, il y a dans l’Hexagone 13 000 délégués à la protection des données (DPO), pour 24 500 organismes qui en ont désigné un. C’est l’un des points que relève la Commission nationale informatique et libertés (Cnil) dans un bilan quatre mois après l’entrée en vigueur du règlement général de protection des données (RGPD, ou GDPR pour les anglophones).

La Cnil parle d’une «appropriation progressive » de la part des professionnels. Car elle ajoute à cela 150 000 téléchargements de son modèle de registre simplifié, ou encore 3 millions de visites sur son site depuis la fin mai. Sans compter une hausse de 45 % des appels à la commission sur les 7 premiers mois de 2018 – « notamment des professionnels » – et une progression de 83 % des consultations de ses listes de questions fréquentes.

Si, selon certaines observations, l’entrée en vigueur du RGPD ne constitue que le début d’une grande marche, celle-ci apparaît en tout cas clairement engagée. Et pour certains organismes, elle ne va pas sans douleur.

De fait, la Cnil fait état de plus de 600 notifications de violations de données reçues, portant sur environ 15 millions de personnes, « soit environ 7 par jour depuis le 25 mai ». Surtout, les particuliers manifestent, selon la commission, « une prise de conscience inédite » : elle indique avoir reçu, depuis l’entrée en vigueur du RGPD, 3767 plaintes, « contre 2294 plaintes sur la même période en 2017, qui constituait déjà un record ». En outre, il faut compter avec plus de 200 plaintes transfrontalières, qui « soulèvent notamment des questions sur le consentement en général, et notamment celui des mineurs ».

La Cnil continue de ne pas laisser les organismes seuls face au RGPD. Au printemps, elle avait publié un guide de sensibilisation de 32 pages destiné aux patrons de PME, en partenariat avec Bpifrance. Trop peu, trop tard, pour certains, mais la commission ne s’arrête pas là.

Elle publiera prochainement une liste de traitements devant l’objet d’une analyse d’impact sur les données personnelles, ainsi que des lignes directrices de synthèse visant à aider les responsables de traitement à savoir s’ils sont ou non soumis à cette obligation. La Cnil publiera également trois référentiels relatifs à la gestion des clients et prospects, aux ressources humaines, et à la vigilance sanitaire, ainsi qu’un autre portant sur la certification DPO. Un Mooc de familiarisation et des fiches pratiques à l’intention des collectivités locales sont également en préparation.