RGPD et mise en conformité des entreprises : quels axes de contrôle en 2019 ?

RGPD et mise en conformité des entreprises : quels axes de contrôle en 2019 ?

Après la publication au mois d’avril 2019 de son rapport d’activité pour 2018, la Commission Informatique et Libertés a dévoilé sa stratégie de contrôle pour l’année qui vient.

 

Quels sont les axes de contrôle pour 2019 ?

1. Le respect des droits des individus concernés par les traitements de données personnelles

Le constat est sans appel : près de 73% des plaintes reçues par la CNIL se fondent sur le non-respect de l’exercice d’un droit (accès, rectification, opposition, effacement, portabilité).

Qu’il s’agisse de droits existant avant l’entrée en vigueur du RGPD (ex : accès ou rectification) ou de nouveaux droits créés par le RGPD (portabilité des données), la CNIL entend s’assurer qu’une réponse claire et complète sera apportée aux personnes, dans le respect des délais prévus par les textes.

Concrètement, les organisations amenées à traiter des données à caractère personnel devront s’assurer que les personnes concernées (salariés, clients, prospects) par les traitements pourront exercer l’intégralité de leurs droits dans les délais prévus par le RGPD.

2. La répartition des responsabilités entre responsable de traitement et sous-traitant

Depuis l’entrée en vigueur du RGPD, le sous-traitant est soumis à de nouvelles obligations et sa responsabilité pourra être directement engagée :

  • Il doit mettre en place de nouveaux outils de conformité légale : désigner un DPO, tenir un registre de traitements, notifier d’éventuelles violations de sécurité, établir des analyses d’impacts sur la vie privée dans certains cas.
  • Il est également tenu à de nombreuses obligations vis-à-vis du responsable de traitement : établir un contrat ou des clauses spécifiques relatives à la protection des données personnelles, garantir la sécurité des données traitées, protéger les données qui lui sont confiées dès la conception du traitement et par défaut, aider et assister le responsable de traitement... sans oublier de s’assurer que ses propres sous-traitants respectent bien l’ensemble de ces obligations en évaluant leur niveau de conformité.

De ce fait, les entreprises faisant appel à des prestataires sous-traitants au sens du RGPD devront se montrer particulièrement vigilantes, la CNIL ayant clairement indiqué orienter ses contrôles, notamment sur l’existence et le respect du contrat de sous-traitance.

3. Le traitement des données des mineurs

La CNIL entend enfin protéger les mineurs du fait de leur particulière vulnérabilité (publication de contenus sur les réseaux sociaux, mise en œuvre de traitements biométriques dans les écoles).

 

Contrôle et politique répressive : l’avertissement de la CNIL aux organisations

En 2018, la CNIL a concentré son action répressive sur les obligations préexistant au RGPD, afin de laisser aux organisations le temps d’organiser leur mise en conformité sur les nouveaux aspects du texte.

La bienveillance n’est désormais plus de mise, la CNIL ayant annoncé qu’elle “vérifiera pleinement le respect des nouvelles obligations et nouveaux droits issus du cadre européen (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations) et tirera, au besoin, toutes les conséquences en cas de constatation de manquements”.

La CNIL tient cependant à rassurer les organisations en précisant qu’elle “continuera toutefois à faire preuve de discernement dans le choix des mesures correctrices (clôture assortie d’observations rappelant à l’organisme ses obligations, mise en demeure, sanction pécuniaire, injonction sous astreinte) en choisissant “au cas par cas les suites les plus appropriées, en fonction notamment de la gravité des manquements, de la bonne foi de l’organisme et de sa coopération”.

À lire également :

Le rapport annuel de la CNIL décrypté par Sellsy