RGPD : La stratégie de contrôle de la CNIL pour 2019

En 2019, la CNIL concentrera son action de contrôle sur 3 grands thèmes : le respect des droits, le traitement des données des mineurs et la répartition des responsabilités entre responsable de traitements et sous-traitants. 

En matière de contrôles et de politique répressive, l’année 2019 marque l’achèvement de la phase de transition entre l’ancienne législation et la nouvelle.

En s’abstenant jusqu’ici de sanctionner le non-respect des obligations nouvelles du RGPD, la CNIL souhaitait permettre aux responsables de traitement de comprendre et d’assimiler progressivement les exigences du RGPD adopté en 2016.

Désormais, la CNIL vérifiera pleinement le respect des nouvelles obligations et nouveaux droits issus du cadre européen (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations) et tirera, au besoin, toutes les conséquences en cas de constatation de manquements.

La CNIL continuera toutefois à faire preuve de discernement dans le choix des mesures correctrices (clôture assortie d’observations rappelant à l’organisme ses obligations, mise en demeure, sanction pécuniaire, injonction sous astreinte). Elle choisira au cas par cas les suites les plus appropriées, en fonction notamment de la gravité des manquements, de la bonne foi de l’organisme et de sa coopération.

S’agissant de son programme annuel des contrôles qui représente environ ¼ de ses investigations, la Commission a souhaité concentrer son action cette année sur 3 grands thèmes, directement issus de l’entrée en application du RGPD.

Le respect des droits des personnes 

En 2018, environ 73% des plaintes reçues par la CNIL portaient sur le non-respect de l’exercice d’un droit. La CNIL souhaite ainsi s’assurer de l’application effective des droits dont disposent les personnes concernées, qu’il s’agisse des droits déjà existants dans la loi Informatique et Libertés ou des nouvelles obligations issues du RGPD tel que le droit à la portabilité des données. Elle s’assurera qu’une réponse claire et complète est apportée aux personnes, dans le respect des délais prévus par les textes.

Le traitement des données des mineurs 

La CNIL souhaite apporter une attention particulière à ce public « vulnérable» au sujet duquel elle reçoit régulièrement des plaintes portant sur des problématiques diverses telles que la publication de contenus sur les réseaux sociaux ou la mise en œuvre de traitements biométriques dans les écoles.

La répartition des responsabilités entre responsable de traitements et sous-traitants

Sous l’empire de la loi Informatique et Libertés, seuls les responsables de traitements pouvaient être mis en demeure ou sanctionnés par la CNIL pour des manquements à la protection des données. Désormais, le RGPD prévoit de nouvelles obligations pesant sur les sous-traitants et dont ils sont directement comptables. Orienter la politique de contrôle, notamment sur l’existence et le respect du contrat de sous-traitance, permettra de s’assurer de la mise en œuvre concrète de ces nouvelles obligations susceptibles d’être à l’origine de nombreux manquements.

Ces 3 grands thèmes ne dicteront pas à eux seuls la conduite des investigations de la CNIL. En effet, comme pour les années précédentes, les missions de contrôle auront également pour origines, en plus du programme annuel exposé :

• les réclamations et les signalements adressés à la CNIL ;
• les vérifications effectuées à la suite de clôture, de mises en demeure ou de sanctions ;
• les missions réalisées en fonction des sujets d’actualité ;

Enfin, la CNIL va poursuivre la coopération initiée en 2018 avec ses homologues européens pour assurer une protection des données personnelles homogène et cohérente sur l’ensemble du territoire de l’Union européenne. Elle collaborera ainsi avec les autres autorités sur les traitements transfrontaliers par exemple en procédant des opérations de contrôle conjointes.

Référence

Information de la CNIL du 19 avril 2019