RGPD : entreprises, qu’est-ce qui vous attend en 2020 ?

8 janvier 2020

Cette nouvelle année signe pour les entreprises et les organisations la fin de la période transitoire accordée par la CNIL pour qu’elles se mettent en conformité. En 2020, l’autorité de régulation pourrait donc durcir le ton. Les montants des amendes de la CNIL sont, en effet, en forte augmentation depuis 2018, année de l’entrée en application du RGPD.

 

2020, sous le signe de la sécurité

Il est possible que la CNIL soit moins indulgente car, comme a prévenu l’autorité de régulation, 2020 signe la « fin de la période de transition accordée aux entreprises ». Et cette année, les organisations devront particulièrement être attentives à la sécurité des données car c’est la thématique la plus sanctionnée en 2019. Aussi bien organisationnelle que technique, la sécurité ne se limite pas à l’informatique.
Par exemple : protéger les fichiers et dossiers papiers contenant des données personnelles dans des tiroirs/placards verrouillés, installer un dispositif permettant d’être alerté en cas d’effraction, ou encore séparer physiquement du reste des locaux la salle de votre serveur informatique sont des actions aussi importantes que de mettre en place un système d’authentification sur les postes de travail, tenir à jour l’antivirus ou sécuriser son réseau informatique.

Le top 3 des manquements les plus sanctionnés par la CNIL en 2019

Pour rappel, en 2019, la moyenne des montants des sanctions financières avoisinait les 275000€, soit une augmentation de 107% par rapport à la moyenne de 2018 (sans tenir compte de la sanction de janvier 2019 à l’encontre de Google à hauteur de 50 millions d’euros).

 

Gestion des cookies : plus que 6 mois pour se mettre en conformité

Le RGPD impose aux acteurs du web de recueillir l’accord de l’internaute avant d’installer des cookies sur son terminal. Cette obligation, née au 25 mai 2018, change les règles en matière de cookies et de traceurs.
Cependant, le gendarme de la donnée a décidé d’accorder une période transitoire jusqu’à l’été 2020 afin que les acteurs concernés aient le temps de se mettre en conformité. Durant cette période de transition, la poursuite de la navigation (desktop ou mobile) comme expression du consentement sera donc considérée par la CNIL comme acceptable.
Une décision qui a poussé plusieurs associations à saisir le conseil d’Etat afin de dénoncer ce qu’elles considèrent comme une méconnaissance du droit à la protection des données personnelles des internautes, et une « autorisation à la CNIL à ignorer le RGPD ».
À l’automne 2019, le Conseil d’Etat a rejeté cette requête, estimant l’échéance raisonnable puisque, à terme, la CNIL imposera finalement une obligation de conformité sans appel à l’issue de ce délai. Et d’autant « qu’une application stricte et des sanctions n’aurait pas accéléré la mise en conformité des acteurs. » Jusqu’à l’été, la CNIL continuera d’accompagner les entreprises.

Municipales : attention au mélange des genres !

En prévision des municipales de 2020, la CNIL a présenté un plan d’actions afin de s’assurer du respect du RGPD lors de l’utilisation des données personnelles des concitoyens par les candidats dans le cadre de leur communication politique.
Ce plan d’actions passe notamment par la mise à jour de fiches, qui présentent très clairement le cadre et les limites à l’utilisation de données personnelles lors des campagnes pré-électorales.
La CNIL a ainsi formellement rappelé les règles aux différentes factions politiques. Elle a également mise à disposition une plateforme de signalement, sur son site, de toute pratique qui s’avèrerait non conforme à la réglementation sur la protection des données.
La surveillance de la prospection politique est d’ailleurs au programme de la politique de contrôle de la CNIL.

Réseaux sociaux : attention Bercy vous surveille !

L’administration fiscale et douanière entend renforcer la lutte contre la fraude fiscale par la surveillance et la collecte de données accessibles sur les réseaux sociaux et les sites de mise en relation de personnes (comme “leboncoin” par exemple).
Cette lutte 2.0, proposée à titre expérimental pour une durée de trois ans, permettra aux agents de l’administration fiscale de collecter automatiquement et massivement des données telles que la vente de produits de luxe sur Ebay ou des photos d’une piscine nouvellement construite postées sur Instagram.
Cette surveillance de masse soulève des questions en matière de protection des données personnelles. Si la CNIL ne s’oppose pas fondamentalement au procédé, elle émet des réserves quant à l’intrusion dans la vie privée que peut entrainer le dispositif.
De son côté, le Conseil constitutionnel approuve cette nouvelle forme de surveillance à condition que les données collectées soient librement accessibles sur un service de communication au public en ligne, et qu’elles aient été manifestement rendues publiques par les utilisateurs.

Vidéosurveillance : Pensez aux bonnes pratiques

Plusieurs établissements scolaires ont été épinglés par la CNIL au cours de l’année 2019 pour l’usage excessif de la vidéosurveillance. Pour que la vidéosurveillance soit respectueuse du cadre légal et des droits des personnes filmées, certaines règles sont à respecter.
Tout d’abord, l’installation d’un dispositif de vidéoprotection doit être justifié par un intérêt légitime. Il peut s’agir de la protection des biens et des personnes, de la lutte contre la dégradation d’un établissement ou contre les violences entre élèves pour les établissements scolaires.
Seules les personnes habilitées dans le cadre de leur fonction peuvent visionner les images enregistrées. Dans l’idéal, ces personnes doivent avoir été formées aux règles de protection des données et plus particulièrement aux problématiques de la vidéosurveillance.
La durée de conservation des images doit être en lien avec l’objectif poursuivi par la mise en place du dispositif. Le plus souvent, elle n’excède pas 1 mois.
Par ailleurs, les personnes susceptibles d’être filmées doivent être informées, par le biais d’un affichage lisible, que le lieu est placé sous vidéosurveillance.
Certaines formalités doivent être accomplies en fonction du lieu où se trouve le système de vidéoprotection. S’il est situé sur un lieu ouvert au public, il convient d’obtenir l’autorisation de la préfecture du département concerné. S’il est situé sur un lieu de travail, les représentants du personnel doivent être informés et consultés avant toute installation.

Marine Ravry, Benjamin Baratta, Alexis Cornilleau, consultants GDPR Rating