RGPD – 6 mois après, bilan quantitatif, factuel et juridique

6 mois après l’entrée en vigueur du RGPD, la CNIL dresse un second bilan quantitatif :

  • 32 000 organismes ont désignés un DPO ce qui représente 15 000 DPO
  • 1 000 notifications de violations de données ont été reçues par la CNIL
  • 6 000 plaintes depuis le 25 mai, 9700 depuis le début de l’année (+ 34% par rapport à n-1)

D’un point de vue factuel, 2 français sur 3 déclarent être plus sensibles qu’avant à la protection de leurs données personnelles, notamment à cause de la peur du piratage et des scandales des réseaux sociaux.
65% des personnes interrogées ont déjà entendu parler du RGPD.

Sur le plan juridique c’est aussi l’occasion de faire un petit récapitulatif :

  • Les premières plaintes collectives contre les GAFA ont été déposées par trois organismes
  • Près de 350 plaintes transfrontalières au niveau européen sont en cours d’instruction

Côté sanction, la première « vraie » sanction financière RGPD a eu lieu au Portugal, un hôpital ayant été condamné à 450 000€ d’amende pour violation des principes de confidentialité et d’intégrité des données ainsi que défaut de minimisation d’accès aux données médicales.
En France, les amendes prononcées depuis le 25 mai vont de 10 000€ à 250 000€, mais il faut noter que ces sanctions ne concernent que des faits antérieurs à la mise en œuvre du RGPD. Compte tenu d’un délai d’instruction des plaintes par les services de la CNIL d’environ un an, nous ne verrons les premières sanctions pour non conformité au RGPD que dans le deuxième semestre 2019. Il est toutefois possible de constater que les montants des sanctions financières peuvent être dès à présent significatifs.

Bien sur, ces amendes ne sont qu’un volet de  de la chaîne répressive de la CNIL. Par exemple, la CNIL vient de mettre en demeure publiquement la société Malakoff Médéric Mutuelle pour un détournement de la finalité des données traitées.

Pour synthétiser :

  • Les manquements à la loi Informatique et libertés sont souvent des défauts de sécurisation des données, des détournements de finalité, des défauts de consentement ou des mises en œuvre illégale de traitement. Actuellement la sécurité des données est la principale motivation de sanction.
  • Une grande partie des plaintes reçues par la CNIL concernent des demandes de droit d’accès, les entreprises ne sont donc manifestement pas assez préparées pour traiter les droits des personnes concernées (accès, rectification, effacement, limitation, opposition, portabilité).

Abonnez-vous à ce blog

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par e-mail.

Rejoignez les 8 autres abonnés

Catégories