Plan stratégique de la CNIL 2022 / 2024 : cela va transformer votre vision du RGPD

Le 25 mai 2018, le RGPD (le Règlement Général sur la Protection des Données) a fêté son 4e anniversaire. Ses débuts ont été difficiles. 

Perçu d’abord comme une contrainte, il fait de plus en plus l'unanimité :

• soucieux de protéger leurs libertés individuelles, les Européens le comprennent davantage (ils n'hésitent plus à exiger son application) ;

• conscients des enjeux (financiers, notoriété, protection de la vie privée...), services publics et entreprises privées, responsabilisés par le texte de loi, le respectent : c’est un fil conducteur qui guide leurs actions.

L'autorité de contrôle française, la CNIL (Commission nationale de l’informatique et des libertés) a, elle aussi, accompagné cette évolution. 

Pour demeurer un interlocuteur crédible et efficace, elle a :

• fait évoluer son cadre juridique ;

• mobilisé de nouveaux outils technologiques ;

• multiplié les sanctions.

Bref, les principaux acteurs de la réglementation européenne semblent tous concernés.

Mais une question reste en suspens : cette mobilisation générale est-elle suffisante ?

Notre quotidien se digitalise à vitesse “grand V". La pandémie de la COVID-19 a accéléré les usages et multiplié les risques.

Pour répondre à de nouvelles attentes, entreprises historiques et start-up ne cessent de proposer des services numériques toujours plus innovants. Leur croissance repose sur la transition numérique.

Une protection renforcée des données personnelles est donc incontournable. Le RGPD doit évoluer pour maintenir ce lien de confiance qui unit tous les acteurs.

Gardienne de son application sur le territoire national, la CNIL a dévoilé les grandes lignes de son plan stratégique le 17 février 2022.

Le plan stratégique de la CNIL : les droits des européens comme priorité

• Préserver les libertés individuelles, 

• protéger les données personnelles, 

• inciter les acteurs du numérique à changer leurs pratiques,

• permettre aux Français d'exercer pleinement leurs droits…

Ce sont les missions de la CNIL.

Pour les remplir, elle mène quotidiennement 3 types d’actions :

• l'information (réponses aux demandes des particuliers et des entreprises, communication dans les médias...) ;
• le développement d’outils d’aide à l’exercice des droits ;
• le contrôle (surveillance des traitements et sanctions en cas de non-conformité).

L’objectif de la CNIL : une meilleure communication

La CNIL poursuit une ambition : permettre un meilleur contrôle des citoyens français sur leurs données personnelles. Mais sont-ils pleinement conscients de leurs nouveaux droits ? Le gendarme français des données personnelles en doute.

Sur les 2 prochaines années, la CNIL va renforcer sa communication pour informer davantage et sensibiliser le public (mise en ligne de nouveaux outils, actions dans les médias...).

La vision de l’autorité de contrôle : des actions de répressions plus rapides

• Contrôles, 
• mises en demeure, 
• sanctions, 
• traitements des plaintes... 

Les missions de la CNIL reposent sur de nombreuses procédures. Sa crédibilité et son efficacité exigent des délais d'instruction raccourcis. L'autorité de contrôle y travaille.

Pourquoi ?

Son activité ne cesse de croître. Plaintes et sanctions se multiplient. En 2021, la CNIL a :

• enregistré 14 000 plaintes ;

• réalisé 384 contrôles ;

• prononcé 18 sanctions et 135 mises en demeure.

Tous ces dossiers portent des enjeux différents. Certains sont moins délicats que d’autres à traiter.

Désormais, la présidente de la CNIL évalue cette complexité selon 4 critères :

• la gravité ;

• le respect de la loi ;

• les innovations technologiques employées ;

• le niveau de risque pour les personnes concernées.

Les 24 janvier et 8 avril 2022, les modifications de la loi Informatique et Libertés et son décret d’application offrent à la CNIL une nouvelle arme répressive : une procédure simplifiée pour traiter plus rapidement les dossiers les moins délicats. L’instruction profite de modalités de mises en œuvre plus légères.

Les mesures correctrices (mises en demeures et sanctions) sont désormais plus faciles à mobiliser.

Au sein de la CNIL, la formation restreinte est composée de 5 membres et d’un président (différent du président de la CNIL). 

Dans ce petit comité, un rapporteur est nommé pour instruire une procédure de sanction simplifiée. Saisi par la présidente de la CNIL pour instruire un dossier, le président de cette formation restreinte statue seul. Il peut même transférer ce pouvoir à un des membres. Ainsi, sans séance publique, sauf si cela est réclamé par l’organisme poursuivi, les sanctions sont appliquées.

Ces dernières peuvent être :

• un rappel à l’ordre ;

• une amende (plafonnée à 20 000 €) ;

• une injonction à fournir les pièces demandées, avec une astreinte (maximum de 100 € par jour).

Autant dire qu’il est de plus en plus évident, pour toute entreprise, quelle que soit sa taille, de s’assurer de sa conformité au RGPD !

Le projet de la CNIL : un “guichet unique” plus efficace

Le RGPD est une réglementation aux dimensions européennes.

Le mécanisme du "guichet unique" : 

• facilite les démarches administratives des entreprises ;
• participe à une application uniforme du RGPD pour les traitements de données transfrontalières sur le sol européen.

Le plan stratégique de la CNIL souhaite que l'autorité de contrôle renforce sa position d'actrice clé au sein du Comité européen de la protection des données (force de propositions, consolidation des relations avec les autres autorités de contrôle).

La volonté de la CNIL : une veille constante de l'environnement digital

Perpétuellement, de nouveaux services et outils digitaux font leur apparition.

Pas facile pour les citoyens de les cerner. Une incompréhension qui s'accompagne inévitablement d'un risque sur les données personnelles.

Eh oui… Comment se protéger sans comprendre le fonctionnement des SaaS (Software en tant que service) auxquels l’on souscrit ?

La CNIL assistera davantage les citoyens pour des pratiques digitales plus sûres.

Le plan stratégique de la CNIL : le RGPD, un atout business

Entreprises, services publics, associations... Au commencement, le RGPD apparaissait comme une contrainte, voire comme un frein sérieux à l'activité.

Cette perception a changé. Le RGPD est désormais inscrit dans les cultures organisationnelles.

Cette dynamique, la CNIL veut l'entretenir en s'inscrivant dans une démarche d'accompagnement.

Elle les aidera à :

• mieux comprendre la réglementation européenne sur la protection des données ;
• se mettre en conformité (grâce à des outils développés par l'autorité de contrôle) ;
• se protéger efficacement des cyberattaques.

L'objectif de la CNIL est simple : faire du RGPD un atout business.

L'appliquer signifie améliorer la notoriété et le gain de confiance des interlocuteurs (clients, salariés, fournisseurs...). Les entreprises doivent ainsi profiter d'une meilleure compétitivité.

Une vision très ambitieuse que la CNIL souhaite atteindre en se fixant des objectifs à courte échéance.

L’ambition de la CNIL : un meilleur accompagnement des responsables de traitement

Les responsables de traitement sont en première ligne. Conscientisés par le législateur, la bonne application et l'évolution du RGPD ne dépendent que d'eux.

Pourtant, ce règlement reste une loi complexe. Le déchiffrer et veiller à sa bonne mise en œuvre ? Sans les bons outils de mise en conformité RGPD, cela ressemble à un véritable parcours du combattant !

Un poids juridique colossal pèse sur les épaules des responsables de traitement. Une sanction mettrait en péril la pérennité de toute organisation.

La CNIL aspire à une mise en conformité plus sereine. Tout responsable de traitement en recherche d'informations doit : 

• pouvoir s'adresser facilement à son autorité de contrôle ;

• profiter d’outils d’accompagnement simples et accessibles.

Cet état d’esprit encouragera à une meilleure protection des données personnelles et à une sécurisation plus adaptée dans un environnement numérique instable.

Le souhait de l’autorité de contrôle française : des outils de certification simplifiés

Chaque organisation a ses spécificités. Le RGPD ne définit que des grandes lignes directrices à suivre.

Les responsables de traitement doivent veiller à leur application. Leurs actions s'inscrivent désormais dans un cadre légal et juridique. Il leur revient de “définir les moyens” pour les respecter.

La CNIL va développer des outils pour simplifier cette mise en conformité.

La CNIL, une ressource à disposition des pouvoirs publics contre les cyberattaques

C’est une organisation spécialiste des nouvelles technologies et de la protection des données.

Les pouvoirs publics doivent profiter de cette double expertise pour aider les entreprises privées et les services publics à se protéger des cyberattaques.

La CNIL : vers une amélioration de l'expertise économique en interne

Protéger efficacement les informations et faire adhérer au RGPD exige une compréhension fine des modèles économiques.

Toute réglementation a ses répercussions.

 La CNIL désire développer une expertise économique en interne pour :

• jouer pleinement son rôle de régulateur ;

• gagner en crédibilité.

Le plan stratégique de la CNIL : des actions plus ciblées

La digitalisation de la société s'accélère. Les technologies du numérique deviennent indispensables. Les usages ne cessent d'évoluer.

Résultats : 

• les collectes et les traitements s'intensifient ;
• le danger sur les données se fait toujours plus pressant.

L’actualité et les signalements rythment le quotidien de l’autorité de contrôle. Les seuls traitements des plaintes, contrôles réalisés et sanctions prononcées limiteraient la CNIL à un rôle de “gendarme”. Une posture très éloignée de ses ambitions.

La CNIL veut occuper une place centrale dans l’application du RGPD. Dans son plan stratégique, elle a donc défini des priorités très précises à forts enjeux.

Encadrer la prospection commerciale

Au quotidien, impossible d’y échapper. Les appels téléphoniques commerciaux sont incessants. Agacés, les Français manifestent régulièrement leur mécontentement auprès de la CNIL.

En février 2022, l’autorité de contrôle a décidé :

• d’encadrer ces pratiques avec un référentiel “gestion commerciale” ;

• d’accompagner les acteurs du démarchage téléphonique pour leur mise en conformité.

Ce référentiel lui permet d’évaluer la conformité au RGPD des actions menées par les professionnels. La CNIL souhaite principalement réguler les opérations de transmission et de revente de données.

Accompagner le développement du télétravail

La pandémie a bouleversé l’organisation du travail dans les entreprises. La distanciation physique imposée par le gouvernement s’est accompagnée d’un recours massif au télétravail et d’une utilisation de nouveaux outils.

Problème : certaines applications proposent des options permettant aux employeurs de surveiller l’activité d’un salarié à distance.

La CNIL s’inscrit dans une démarche d’accompagnement. La volonté de contrôle des employeurs ne doit pas empiéter sur la vie privée des travailleurs. Un équilibre difficile à trouver. Selon la CNIL, seul un contrôle régulier des pratiques des employeurs le garantit.

Surveiller la prolifération des caméras

Vous l'avez sans doute remarqué : les caméras augmentées, aux algorithmes prédictifs, se sont multipliées ces dernières années. Sans régulation, un risque de surveillance à grande échelle existe.

La CNIL veut accompagner les acteurs privés et les services publics pour réguler leur usage et leur implantation afin de respecter le principe de la proportionnalité.

Rester vigilant sur le cloud

L'utilisation du Cloud est si simple ! S'en servir apparaît comme une évidence.

Pourtant, une problématique demeure. Ces solutions cloud sont généralement proposées par des acteurs non européens du secteur digital, les fameuses GAFAM.

Leurs serveurs sont installés en dehors de l'Union européenne. Des transferts de données deviennent donc incontournables.

De plus, ces entreprises obéissent à des réglementations nationales contraires au RGPD (comme la loi FISA aux États-Unis).

• Ces applications respectent-elles les standards de protection européens ? 
• La protection des données et les droits des citoyens du Vieux Continent sont-ils garantis ?

Rien n'est moins sûr.

Le plan stratégique de la CNIL prévoit un renforcement de la collaboration avec ses homologues européens. C’est un enjeu crucial : la souveraineté digitale de l'Europe.

Mettre en conformité les applications mobiles

Votre smartphone vous accompagne partout : il est devenu un objet indispensable du quotidien. La plupart de vos pratiques numériques requièrent son utilisation.

Malheureusement, le fonctionnement de nombreuses applications demeure opaque.

• Connaissez-vous les technologies employées ?
• Savez-vous les opérations de traitement sur vos données personnelles ?

Très probablement non.

La CNIL agira pour améliorer la transparence de ces applications, veillera à leur conformité et sensibilisera davantage les usagers.

Accompagnement et contrôle : les maîtres-mots du plan stratégique de la CNIL

Vous en savez désormais un peu plus sur le plan stratégique 2022/2024 de la CNIL.

L'accompagnement des principaux acteurs (utilisateurs, responsables de traitement) et un contrôle supérieur des nouvelles technologies semblent être au cœur de ce projet.

Et vous ? Rencontrez-vous toujours des difficultés avec le RGPD ? Contactez-nous. Léto vous accompagne dans votre mise en conformité. 

Pour vous aider à chaque étape de votre conformité, pensez à utiliser Leto, le logiciel RGPD. Réserver une démo avec nos experts.