Bilan après 1 an de RGPD

Le RGPD est maintenant connu de la plupart des acteurs du numérique avec ses principes :

• Confirmation des principes clefs et des conditions de licéité des traitements
• Renforcement des droits des personnes et des obligations des entreprises et organismes amenés à traiter des données personnelles
• Renforcement significatif des sanctions avec des amendes allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial

Depuis l’entrée en vigueur du RGPD en Mai 2018, la CNIL a rendu de nombreuses décisions de mise en demeure ou de sanction.

• Les manquements aux obligations de sécurité des données ont été particulièrement sanctionnés (souvent plusieurs centaines de milliers d’Euros !).
• Le non-respect ou le détournement des finalités ont également donné lieu à des sanctions financières importantes.

Plusieurs entreprises (dont certaines internationales comme Google) ont du débourser des sommes extrêmement importantes (jusqu’à 50 millions d’Euros !!!) à cause du non respect du RGPD concernant l’obligation d’information des utilisateurs et/ou les conditions d’obtention du consentement des personnes.

Cette 1ère année d’application du RGPD a été pour la plupart des entreprises l’année de la mise en conformité.
Les relations avec les sous-traitants ont souvent été un problème complexe, notamment à cause de l’article 28 du RGPD.

La stratégie de contrôle de la CNIL pour 2019-2020

La CNIL a indiqué souhaiter concentrer ses contrôles principalement autour de trois thématiques :

• Le respect du droit des personnes : information, droits d’accès, de rectification, d’effacement, droit à la limitation des traitements, droit d’opposition, droit à la portabilité des données
• Le traitement des droits des mineurs, notamment concernant la publication de contenus sur les réseaux sociaux pour lesquels la CNIL reçoit de nombreuses plaintes
• La répartition des responsabilités entre responsables de traitement et sous-traitants, notamment l’existence et le respect du contrat de sous-traitance

Concernant les modalités opérationnelles de recueil du consentement, la CNIL proposera fin 2019 de nouvelles recommandations. Les entreprises disposeront d’une période d’un an pour les appliquer.

La phase de mise en application du RGPD étant achevée, la CNIL annonce désormais qu’elle adoptera une démarche volontariste de contrôle du respect du RGPD.

Pour les différents acteurs concernés, entreprises, organismes publics et associations, qui n’ont pas encore mis en œuvre le RGPD, il devient impérativement prendre immédiatement le sujet à bras le corps.

Que faire si vous n’êtes pas en conformité RGPD ?

Une seule recommandation : Faites-vous aider par un professionnel⁽¹⁾ !
S’il est possible de se mettre seul en conformité RGPD, l’expérience démontre que les résultats sont très loin d’être satisfaisants.
Les entreprises n’ont pas le temps de s’intéresser aux subtilités du RGPD et la plupart du temps, elles pensent avoir rempli leurs obligations alors qu’elles se sont contentées uniquement d’informer leurs salariés.
En cas de contrôle, la note peut s’avérer salée !!!

Seul un professionnel du RGPD pourra vous accompagner et vous apporter toute son expertise.

Un petit clic valant mieux qu’une grosse amende, si vous n’êtes conforme ou si vous n’êtes pas sûr d’être conforme, contactez-nous !

⁽¹⁾ Parce que nous avons vu des cas « problématiques », nous vous déconseillons d’avoir recours à un cabinet d’avocats ou d’experts-comptables, hormis si celui-ci est VRAIMENT spécialisé dans le RGPD…