Quelle stratégie de contrôle pour 2019 ?

19 avril 2019

En 2019, la CNIL concentrera son action de contrôle sur trois grandes thématiques, directement issues de l’entrée en application du RGPD : le respect des droits, le traitement des données des mineurs et la répartition des responsabilités entre responsable de traitements et sous-traitants. 

En 2019, comme les années précédentes, l’action de la CNIL reposera sur deux axes :

  1. l’accompagnement des professionnels dans l’application du RGPD,
  2. le contrôle du respect de leurs obligations.

Cependant, en matière de contrôles et de politique répressive, l’année 2019 marque l’achèvement de la phase de transition entre l’ancienne législation et la nouvelle, que la CNIL avait annoncée début 2018. En s’abstenant jusqu’ici de sanctionner le non-respect des obligations nouvelles du RGPD, et en focalisant son action répressive sur les obligations s’inscrivant dans la continuité de la loi du 6 janvier 1978, la CNIL souhaitait permettre aux responsables de traitement de comprendre et d’assimiler progressivement les exigences du RGPD adopté en 2016.

Désormais, la CNIL vérifiera pleinement le respect des nouvelles obligations et nouveaux droits issus du cadre européen (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations) et tirera, au besoin, toutes les conséquences en cas de constatation de manquements.

La CNIL continuera toutefois à faire preuve de discernement dans le choix des mesures correctrices (clôture assortie d’observations rappelant à l’organisme ses obligations, mise en demeure, sanction pécuniaire, injonction sous astreinte). Elle choisira au cas par cas les suites les plus appropriées, en fonction notamment de la gravité des manquements, de la bonne foi de l’organisme et de sa coopération.

S’agissant de son programme annuel des contrôles qui représente environ ¼ de ses investigations, la Commission a souhaité concentrer son action cette année sur trois grandes thématiques, directement issues de l’entrée en application du RGPD.

Le respect des droits des personnes 

  • En 2018, environ 73% des plaintes reçues par la CNIL portaient sur le non-respect de l’exercice d’un droit. La CNIL souhaite ainsi s’assurer de l’application effective des droits dont disposent les personnes concernées, qu’il s’agisse des droits déjà existants dans la loi Informatique et Libertés ou des nouvelles obligations issues du RGPD tel que le droit à la portabilité des données. Elle s’assurera qu’une réponse claire et complète est apportée aux personnes, dans le respect des délais prévus par les textes.

Le traitement des données des mineurs 

  • La CNIL souhaite apporter une attention particulière à ce public « vulnérable» au sujet duquel elle reçoit régulièrement des plaintes portant sur des problématiques diverses telles que la publication de contenus sur les réseaux sociaux ou la mise en œuvre de traitements biométriques dans les écoles.

La répartition des responsabilités entre responsable de traitements et sous-traitants

  • Sous l’empire de la loi Informatique et Libertés, seuls les responsables de traitements pouvaient être mis en demeure ou sanctionnés par la CNIL pour des manquements à la protection des données. Désormais, le RGPD prévoit de nouvelles obligations pesant sur les sous-traitants et dont ils sont directement comptables. Orienter la politique de contrôle, notamment sur l’existence et le respect du contrat de sous-traitance, permettra de s’assurer de  la mise en œuvre concrète de ces nouvelles obligations susceptibles d’être à l’origine de nombreux manquements.

 

Ces trois grandes thématiques ne dicteront pas à elles seules la conduite des investigations de la CNIL. En effet, comme pour les années précédentes, les missions de contrôle auront également pour origines, en plus du programme annuel exposé :

  • les réclamations et les signalements adressés à la CNIL ;
  • les vérifications effectuées à la suite de clôture, de mises en demeure ou de sanctions ;
  • les missions réalisées en fonction des sujets d’actualité ;

Enfin, la CNIL va poursuivre la coopération initiée en 2018 avec ses homologues européens pour assurer une protection des données personnelles homogène et cohérente sur l’ensemble du territoire de l’Union européenne. Elle collaborera ainsi avec les autres autorités sur les traitements transfrontaliers par exemple en procédant des opérations de contrôle conjointes.