Le RGPD est entré en vigueur le 25 mai 2018 et toujours aucune condamnation d’envergure à l’horizon. L’objet de cet article est donc de comprendre ce qu’il est prévu que la CNIL fasse pour les consommateurs, quelques mois après la publication du Règlement Général sur la Protection des Données.

Prévoyez-vous de vous mettre en conformité ? Ce choix vous appartient. Toutefois, l’objectif de cet article est de vous informer des changements effectifs et à venir dans la méthode de contrôle utilisée par la CNIL. Ainsi, vous pourrez effectuer votre choix de manière parfaitement éclairée.

 

Ce que la CNIL peut faire

Le saviez-vous ? La CNIL peut appliquer des sanctions de 20 millions d’euros ou 4% du chiffre d’affaire d’une entreprise ? OK, vous l’avez déjà lu sur tous les sites traitant du RGPD. Toutefois, il est clair que de telles sanctions dissuasives ne menacent qu’une minorité d’entreprises. Ce que l’on ne vous dit pas forcément, en revanche, c’est tout le reste.

Par exemple, l’organisme peut effectuer ses contrôles en ligne. Suite à l’envoi d’un procès verbal de constatation et après un délai durant lequel le responsable de traitement peut exprimer ses constatations, elle peut ensuite s’introduire sur votre réseau et contrôler les données personnelles que vous stockez, afin de vérifier la légitimité de leurs bases légales de récolte et de traitement. Peut enfin s’en suivre un contrôle “sur place”, dans les locaux de l’entreprise. Suite à ces contrôles, la CNIL peut intervenir appliquer des mesures de sanctions sur les traitement que vous faites subir aux données personnelles récoltées. En fonction de la gravité de l’infraction, de simples avertissements, la suspension du traitement de données personnelles, une mise en demeure, ou encore des pénalités financières peuvent être infligées, mais aussi rendues publiques.

 

Ce qu’il est prévu par la CNIL

La CNIL compte bien se donner les moyens de faire appliquer les nouveautés comprises dans le RGPD. Si votre entreprise n’a pas profité de cette période de transition, la CNIL en a profité pour renforcer son pouvoir de contrôle. Et cela passe d’abord par les citoyens. Au fait de leurs droits, une partie de la société civile a entamé une véritable croisade contre les moins bons élèves de la classe RGPD : les exemples ne manquent pas : Marc Shrems engage une procédure judiciaire dès le 25 mai, pour faire condamner le comportement des GAFAM, les citoyens de l’Union européenne unissent leur voix à travers des association de consommateurs tels que le Bureau Européen des Unions des Consommateurs (BEUC), la Quadrature du Net, ou le Conseil Norvégien des consommateurs pour réclamer le respect de leurs données personnelles. Tous se sont montrés très remontés et se sont engagés à lutter contre les entreprises les moins respectueuses du RGPD. Et c’est une aubaine pour la CNIL qui pourra mieux concentrer ses efforts sur les contrôles, et un peu moins sur la détection d’infractions au RGPD. Il y a donc de quoi s’alarmer … surtout si votre projet de mise en conformité est quelque part au fond du tiroir.

 

Ce que la CNIL ne fait pas

Globalement, la CNIL, lors de ses contrôles, va chercher à vérifier l’accountability des processus de votre entreprise. Il s’agit d’un plan d’action visant à vous mettre en conformité. En prenant en compte l’avancée de la mise en conformité, et la volonté de se conformer, il est fort probable que les entreprises faisant preuve de bonne foi ne soient pas sanctionnés immédiatement.

Dans l’optique de changer durablement des pratiques fortement ancrées dans les habitudes des marketeurs, l’organisme de contrôle se veut conciliant envers les professionnels en leur octroyant, depuis quelques mois déjà, un temps d’adaptation visant à engager une démarche de mise en conformité.

 

Ce que la CNIL devrait faire dans les prochains mois

300 contrôles. Si la fin d’année 2018 sera probablement calme en terme de contrôles effectifs, les entreprises vont devoir réaliser d’importants efforts pour oublier leurs anciennes pratiques et entrer dans une relation plus respectueuses des données personnelles de  leurs clients.

Si l’on ne cessera jamais de rappeler que le RGPD concerne toutes les entreprises, sans exception, il paraît néanmoins évident qu’elles ne seront pas toutes contrôlées en une année. Un plan d’action précis est donc établi pour organiser les contrôles qui auront lieu dans les prochains mois. Ils viseront les entreprises faisant l’objet de signalement de la part de leurs utilisateurs, celles qui ont déjà fait l’objet d’un contrôle, celles qui sont épinglées par les médias et dont leurs mauvaises pratiques font donc l’actualité, mais aussi, plus largement, celles qui appartiennent à trois secteurs d’activités qui sont tout particulièrement dans le viseur de la CNIL.

Il s’agit des acteurs du recrutement, des agences immobilières, et des entreprises technologiques du secteur du stationnement payant.

Le choix de ces secteurs n’est pas le fruit du hasard. Si les secteurs ciblés sont énoncés si précisément, c’est parce qu’il y a un énorme potentiel de mauvaise cartographie des données d’un grand nombre d’utilisateurs dans ces secteurs là, dont l’activité est orientée B2C.

 

Bonne mise en conformité à tous !