Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Marie-Laure Denis, Présidente de la CNIL : les défis en matière de protection des données restent nombreux pour 2022 !

février 2022 par Marc Jacob

Lors de la 16ème Université de l’AFCDP, Marie-Laure Denis, Présidente de la CNIL est intervenue en présentant son bilan prospectif des actions menées par la CNIL en 2021 et 2022. Elle a assuré les DPO de son soutien afin que leur position dans les organisations soit confortée. Elle a souligné l’importance du partenariat avec l’AFCDP. Pour Marie-Laure Denis, les défis dans le domaine de la protection des données ne manqueront pour 2022 et les années à venir !

En préambule, Marie-Laure Denis a expliqué que les DPO jouent un rôle essentiel dans la prise en compte des données par les acteurs privés et publics. Pour elle, leur action est nécessaire pour favoriser la confiance dans l’économie et dans les politiques publiques à une époque où l’information et la transparence sont devenues des exigences centrales. « Il n’est pas un jour, sans que l’actualité nous rappelle que la protection de la vie privée est au cœur des enjeux d’un monde en évolution entre transformation numérique, réponses à la crise sanitaire, innovations technologiques et démultiplication des flux de données. Dans ce paysage en profonde mutation la CNIL est aux cotés des DPO pour apporter une voix utile au débat public et aux évolutions règlementaires. La CNIL, par ses actions concrètes, a clarifié le cadre juridique nécessaire à l’accompagnement des acteurs. » a-t-elle expliqué. De ce fait, la CNIL a adapté son offre au besoin des organisations, comme par exemple avec le succès de son premier « bac à sable » dans le domaine de la santé. Ainsi, plusieurs porteurs de projets ont candidaté afin de faire du « Privacy by Design » sur de nouvelles solutions innovantes. Pour 2022, cette expérience est pérennisée et portera sur les outils numériques dans l’enseignement. Elle se poursuivra pour les prochaines années.

La CNIL et les cookies : une prise de position ferme qui pourrait s’étendre à d’autres domaines

En matière d’accompagnement, la CNIL a publié 121 avis sur des projets de décrets, de lois… du gouvernement. Ces avis ne sont pas contraignants, mais ont un certain poids car le conseil d’Etat tient compte de ces analyses. De plus, la CNIL délivre des autorisations en matière de nouvelles technologiques comme dans le secteur de la santé entre autres. Par exemple, sur le COVID, elle a donné des réponses en moins de 2 jours voir au maximum en une semaine. Sur le volet répressif, elle a donné des réponses proportionnées et dissuasives, en particulier concernant l’action sur les cookies. Elle a sur les cookies clarifié le cadre juridique. Elle obligé à donner la possibilité de refuser les cookies aussi simplement que possible suite à des tractations « assez viriles » et longues avec les acteurs du marketing digital. La CNIL a laissé un temps d’adaptation de 6 mois pour que les acteurs du numérique puissent modifier leur site. Enfin, elle a engagé des actions répressives via des contrôles, des mises en demeure et des sanctions sur tout type d’acteurs, français, étrangers de toutes tailles. Cet exemple doit être reproduit dans d’autres domaines pour avoir une véritable régulation systémique afin de protéger les français en matière de protection de la vie privée.

La cybersécurité sous le feu des sanctions de la CNIL

D’une matière plus général les services de la CNIL ont procédé à 384 contrôles, instruits plus de 14.000 plaintes et 5.000 notifications de violation de données en matière de cybersécurité. Elle note une augmentation à deux chiffres depuis plusieurs années concernant la cybersécurité. Elle rappelle que 40% des sanctions prononcées par la CNIL concerne la cybersécurité. Marie-Laure Denis a prononcé 135 mises en demeures en 2021. De son côté, la formation restreinte de la CNIL, à la laquelle elle ne participe pas, a prononcé 18 sanctions pour un montant cumulé d’amende de 214 millions d’euros. Ces dernières sont assorties d’injonction qui amènent les acteurs concernés à modifier leurs pratiques.

Sur le plan européen, elle rappelle que la CNIL a été active dans les groupes de travail des comités européens qui élaborent la doctrine et assure la coordination du traitement des plaintes transfrontalières. La CNIL a contribué aux décisions répressives pris par ses équivalents européens, parmi laquelle celle prise par la CNIL du Luxembourg de 746 millions d’euros. Enfin, elle a souligné que l’expertise de la CNIL a été reconnu par les experts de la cybersécurité, d’ailleurs la CNIL est membre du Campus Cyber.

La CNIL et le Cloud : la surveillance est de mise

Actuellement, la CNIL s’intéresse aux nouvelles d’offres de services Cloud sous l’angle de la protection des droits. Quant à la souveraineté numérique européenne, deux sujets préoccupent les autorités de protection des données : la régulation des flux hors de l’UE et l’articulation entre le RGPD et les initiatives législatives européennes en cours d’élaboration. Sur le premier point, l’arrêt « Schrems II » de la Cour de Justice de l’Union européenne du 16 juillet 2020 https://www.cnil.fr/fr/presentation... ne remet pas en cause les transferts vers les pays dont les législations sont moins exigeantes qu’en Europe. Toutefois ces transferts ont aussi un effet de rebond qui pose plus largement la question de l’accès aux données y compris en France et en Europe par des services secrets étrangers en raison de la nationalité de l’entreprise ou des liens de cette dernière avec les marchés de pays tiers. Pour le moment, il n’y a pas de calendrier de nouvelles adéquations en ce domaine avec des pays tiers comme les Etats-Unis par exemple. Toutefois, il est inenvisageable d’attendre qu’un accord soit conclu pour agir.
Ainsi, la CNIL a décliné son action en deux temps : une phase de clarification du cadre légale et d’accompagnement des acteurs et une phase de contrôle et avec le cas échéant l’adoption de mesures répressives. L’accompagnement permettra de proposer des alternatives aux acteurs du Cloud notamment ceux qui ont annoncé des accords avec entre autres des acteurs américains à la condition que les données soient hébergées en Europe par des société françaises ou européennes. Elle a cité les accords entre OVH et Google, ceux entre Orange Cap Gemini et Microsoft, ou encore ceux entre Thales et Google. Ces accords sont prometteurs même si la CNIL n’a pas les clés pour se prononcer sur leur conformité.
La seconde phase, débutée il y a quelques mois, repose sur des actions de contrôle menées en coordination avec les CNIL européennes. Ces dernières ont conduit déjà à une mise en demeure à l’encontre d’un acteur qui utilisait la solution Google Analytics. En effet, « les mesures du taux de fréquentation d’un site se font dans un cadre illégal du fait des transferts de données aux Etats-Unis.

Les autorités de protection n’auront pas seule la solution aux problèmes, elles pourront développer des clauses de code de conduites, des transferts, des outils, de la certification… mais ce n’est pas à elles qu’incombent le rôle de négocier des accords internationaux avec des pays tiers visant à obtenir des garanties sur la protection des données », a rappelé Marie-Laure Denis. Il est indispensable que les gouvernements et les acteurs économiques se saisissent de ces enjeux. Elle rappelle que les problèmes d’accès aux données n’est pas qu’européenne. En effet, le Japon a lancé une initiative au sein de l’OCDE sur ce sujet. Des discussions récentes ont été initiés au G7, au G20, à l’ONU… C’est donc un sujet mondial.

La crédibilité de notre modèle réglementaire passe par l’articulation entre le RGPD et les nouvelles lois

Par ailleurs, « l’articulation entre le RGDP et les nouvelles législations européennes est un élément clé pour la crédibilité et la réussite de notre modèle règlementaire », a-t-elle insisté. Pour l’heure, les dispositions des textes européen en gestation auront un impact sur les métiers des DPO qu’à ce jour il est difficile d’évaluer. Néanmoins, la CNIL et ses homologues européens se sont positionnés sur ces sujets suite à la soumission de texte en projet afin de donner leur avis sur le volet protection des données. Il y a deux éléments clés visés pour garantir la bonne articulation entre ses différents cadres juridiques : la cohérence et la gouvernance. 6 projets sont en cours d’examens comme ceux sur l’IA, DSA (sur les contenus), DMA (sur les aspects concurrentiels), l’e-privacy, la gouvernance Act… Il faut bien veiller à ne pas perdre les fondamentaux pour que ces directives n’amoindrissent pas le RGDP.

Un projet de gouvernance est en cours avec la désignation d’autorités compétentes en capacité d’agir en fonction des secteurs et des enjeux, les autorités de protection des données auront un rôle à jouer.

Les défis ne manqueront pas en 2022 !

Face à ces constats, les défis ne manquent pas pour 2022. La CNIL et les DPO devront faire comprendre aux décideurs de l’impérieuse nécessitée de protéger nos données non seulement du fait des législations, des sanctions, mais aussi qu’il est de leur intérêt de gérer et de sauvegarder leur patrimoine informationnel. En effet, le respect du droit des personnes est un enjeu de responsabilité, d’image et de réputation, mais aussi de confiance si on veut que l’économie numérique se développe de façon durable. La CNIL continuera de s’adapter pour apporter des réponses aux DPO les plus rapides possibles. Elle proposera de nouveaux outils et identifiera de nouveaux thèmes prioritaires pour ses actions d’accompagnements.
Elle rappelle en particulier que parmi les actions d’accompagnements, on trouve celles concernant les mots de passe. De plus, la CNIL publie régulièrement une analyse d’une violation du trimestre afin d’aider les entreprises à améliorer leur pratique. Enfin, elle estime que la CNIL doit faire de plus en plus d’inter-régulation avec les autres autorités de régulation comme ceux de la concurrence, ou encore le CSA et tous les régulateurs qui ont une action en relation avec le numérique.

La CNIL va travailler pour conforter le rôle des DPO afin que des moyens soit alloués pour leur action. Les études annuelles pilotées parc le Ministère du travail en collaboration avec la CNIL et l’AFCDP, montrent que la majorité des DPO bénéficient uniquement de deux jours par mois pour effectuer leur mission. Ceci est insuffisant estime-t-elle, alors que près 28.000 déléguées ont été nommés dans 82.000 organismes. C’est pour cela que la CNIL a décidé d’accompagner les DPO avec une équipe d’experts depuis plusieurs années. En particulier, la CNIL a publié plusieurs guides à leur intention comme le Guide des DPO, des outils d’évaluation, des fiches pratiques… La CNIL produira de nouveaux documents d’évaluations, de nouvelles fiches pratiques… en 2022. Marie-Laure Denis a, en outre, annoncé le recrutement de 4 nouveaux collaborateurs qui seront affectés à l’accompagnement des DPO. La CNIL ira aussi en région pour se rapprocher des centres de décisions. Bien sûr, le partenariat avec l’AFCDP se poursuivra en 2022, a-t-elle conclu son intervention.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants