13 février 2018

Le rôle de la CNIL dans la mise en œuvre du RGPD

Fruit de quatre années de pourparlers entre les Etats membres de l’Union européenne, ce règlement ambitionne d’harmoniser la réglementation applicable au traitement des données personnelles par les entreprises et les administrations.

Ce domaine, en proie à un développement exponentiel, n’était pas négligé par le droit français. La Loi Informatique et Libertés, votée en 1978, envisageait déjà les problématiques liées à la protection de la vie privée en ligne. Le droit communautaire, par le truchement d’une directive édictée en 1995, avait amendé les droits nationaux, dont le droit français en 2004, sans permettre une unification salutaire pour lutter contre l’emprise des grands acteurs du numérique.

La CNIL, un acteur dépassé ?

La CNIL, émanation de la loi Informatique et Libertés, est ainsi le régulateur national en matière de protection des libertés et des données sur l’Internet. L’harmonisation de la législation communautaire pose la question de l’intégration de ce nouveau corps de règles, qui fait la part belle à l’échelon supranational.

L’une des innovations majeures du RGPD réside en effet dans l’instauration d’un guichet unique européen, facilitant l’obtention d’agréments par les acteurs économiques, qui devaient auparavant se conformer à un lourd formalisme administratif propre à chaque Etat membre de l’Union Européenne. En outre, le recours à un interlocuteur unique permettra aux entreprises de rationaliser les coûts, importants en la matière. 

En conséquence, il revient à la CNIL de repenser son rôle dans la protection des libertés sur Internet. Cette mue est entamée depuis plusieurs années déjà. Elle se traduit par une production moindre de normes coercitives : la dernière publication au Journal officiel date de 2013 !

L’accompagnement des acteurs économiques dans la mise en œuvre de la réforme

L’autorité administrative développe donc un travail d’orientation des entreprises et des administrations, dans la mise en œuvre des législations nationales et internationales, ainsi que dans la protection de leurs systèmes informatiques.

En amont, la CNIL produit des référentiels et guides à destination des acteurs économiques, clarifiant la législation applicable à leur situation particulière. Elle appuie ponctuellement certains organismes, dont l’activité rend les données particulièrement sensibles : ainsi, la Caisse nationale d’allocations familiales (CNAF) a fait l’objet d’un audit approfondi, les données relatives à la vie privée des allocataires pouvant faire l’objet d’une récupération frauduleuse.

En aval, la CNIL assiste a posteriori les entreprises victimes de piratage et d’actes de malveillance. Preuve en est avec le hacking subi par Uber, révélé début novembre 2017, relatif à près de 57 millions de comptes d’utilisateurs de la plateforme.

S’agissant du RGPD, la CNIL encourage le recours à un « Privacy Impact Assessment », logiciel d’audit permettant d’identifier les failles inhérentes à un système informatique. La mise à disposition d’un logiciel en libre accès, certifié par le G29 –autorité européenne regroupant les CNIL nationales des Etats membres-, témoigne de la volonté de l’autorité d’assister étroitement les entreprises et organismes publics.

Plus encore, la CNIL encourage la désignation au sein des entreprises d’un Data Protection Officer (DPO). Garant de la mise en œuvre de la réglementation nationale et européenne, le DPO sera l’interlocuteur privilégié de la CNIL et de l’autorité européenne compétente. Les grandes entreprises pourront, le cas échéant, recruter une personne affectée à cette mission. Les entreprises plus modestes pourront recourir aux compétences des entreprises spécialisées en la matière. 

Postérieurement à l’entrée en vigueur du RGPD, et après une période de clémence, il sera loisible à la CNIL de prononcer des amendes, dans la limite de 20 millions d’euros, ou de 4% du chiffre d’affaires mondial d’une entreprise, si celle-ci ne s’est pas conformée aux normes du RGPD.

En somme, la CNIL pourrait être un partenaire avisé et utile pour les entreprises qui souhaiteront s’appuyer sur son expertise. Le RGPD lui confère un pouvoir coercitif qu’elle semblait avoir abandonné : reste à savoir si celui-ci sera exploité ou si l’autorité n’entend jouer qu’un rôle mineur dans la mise en œuvre de cette réforme ! 

RGPD - Visuel article Bruzzo Dubucq 

 

Ne soyez pas timide.
Partagez notre article.