3767, c’est le nombre de plaintes collectées par la CNIL six mois après l’entrée en vigueur du règlement, représentant une croissance de 64% en comparaison de la même période un an plus tôt.

Ces plaintes ne ciblent pas que les grandes entreprises mais également les start-ups. C’est le cas de deux start-ups françaises épinglées par la CNIL.

L’une d’elle s’est vue reprocher de ne pas avoir recueilli le consentement des personnes pour lesquelles elle traitait des données de localisation, d’une part et d’autre part une durée de conservation des données supérieure au raisonnable, tandis que l’autre, pour sa part, a failli au règlement en combinant l’application mobile et le SDK (kit de développement logiciel) dans le recueil des données tout en oubliant d’informer préalablement les utilisateurs.

La CNIL a enfreint les deux sociétés de se conformer au règlement dans un délai de trois mois.

Quels enseignements tirer de l’amende exemplaire infligée par la CNIL à Google ?

L’amende (50 M€) infligée par la CNIL à Google est la première prononcée à l’égard d’un grand de l’internet et la plus conséquente par son montant. A l’origine, la plainte déposée par deux organismes de défense des droits : NOYD, un groupe autrichien et La Quadrature du Net (LQDN) un organisme français de défense des droits du citoyen.

Trois motifs ont été retenus par la CNIL :

• le manque de transparence,
• le manque d’information adéquate,
• l’absence de consentement explicite préalablement recueilli.

De leurs côtés, les groupes de défense ont reproché à Google de ne pas faire preuve de base juridique suffisamment valide pour justifier le traitement de personnalisation des bandeaux publicitaires GoogleAds.

Le cas de Google permet de dégager un certain nombre de recommandations claires sur les mesures que doivent prendre les entreprises :

• Être en mesure de collecter le consentement explicite de façon spécifique pour chaque activité de traitement et faire en sorte que l’usage d’une mention « j’accepte les termes et conditions … » ne s’applique que sur une opération spécifique de traitement et pas sur la totalité du service,
• Éviter de demander un consentement explicite sur plusieurs consentements de nature différentes,
• Renouveler les demandes des consentement explicites obtenus avant le 25 mai 2018, pour être en conformité avec le RGPD,
• Faire en sorte que les notices d’information expliquent clairement et de manière concise la finalité du traitement des données,
• Éviter l’utilisation de paramétrage par défaut pour la collecte des données comme pour le recueil du consentement,
• Être suffisamment clair sur la localisation des activités en Europe.

S’agissant de l’évaluation des amendes, il faut savoir que les agences de régulation prennent en compte deux critères : la durée depuis laquelle la non-conformité existe, d’une part et d’autre part, l’évaluation de l’impact sur les personnes concernées. Par exemple, la CNIL a octroyé à un opérateur télécom une amende de 250 000 € pour une faille de sécurité impactant les données personnelles des clients de l’offre mobile. Cette dernière lui reproche de ne pas avoir réactivé une fonction d’authentification forte qui avait été désactivée pendant la période de test. La faille avait été présente pendant deux ans avec un impact sur deux millions de clients.

Il apparaît par conséquent nécessaire d’anticiper au plus tôt les risques de non-conformité pour éviter les amendes ou tout au moins en réduire le montant.

Points sur les dernières recommandations de la CNIL et les outils d’accompagnement :

Dès le 4 juillet 2018, date d’adoption de la nouvelle loi Informatique et Libertés amendée dans le cadre du RGPD et, un mois plus tard, de son décret d’application, la CNIL a produit à plusieurs reprises des recommandations et des guides en vue d’aider les citoyens dans la mise en œuvre de ce nouveau cadre réglementaire, en mettant l’accent sur les risques provenant des nouvelles technologies.

La CNIL vient récemment de lancer un MOOC (https://www.cnil.fr/fr/la-cnil-lance-sa-formation-en-ligne-sur-le-rgpd-ouverte-tous) pour aider les personnes à se familiariser avec le RGPD. Cette initiative est l’une des nombreuses actions de support (non exhaustive – voir site www.cnil.fr) mises en œuvre par la CNIL :

• Publication de packs sectoriels de conformité,
• Guides pratiques pour les responsables de traitement,
• Guides pratiques pour les DPO concernant le traitement des demandes d’accès au données personnelles,
• Guides pratiques pour les DPO pour la collecte du consentement auprès des personnes concernées,
• Publication d’une liste de catégories de traitement nécessitant obligatoirement une Etude d’Impact sur la Vie Privée (EIVP),
• Production de codes de conduite en particulier s’agissant des systèmes à base de cloud et de la recherche médicale,
• Recommandations concernant l’usage de la blockchain pour le traitement de données personnelles,
• Outils d’aide pour supprimer les informations postées par des tiers sur les réseaux sociaux,
• Préparation en cours d’un cadre de travail pour l’usage de la biométrie,
• Publication de notices pratiques à destination des collectivités locales et territoriales.

Bernard MALACHANE, Consultant Manager ATEXIO – https://www.linkedin.com/pulse/le-rgpd-un-apr%C3%A8s-quel-bilan-bernard-malachane/