Benjamin Vialle, chef du service des contrôles pour les secteurs RH, santé et affaires publiques à la CNIL a accordé une interview dans les Echos.
Y avait un bibelot là...
Des contrôles plus denses
Il nous apprend que les contrôles de la CNIL sont plus denses depuis l'entrée en application du RGPD.
Les responsables des traitements de données à caractère personnel sont nécessairement de plus en plus au courant de leurs obligations, donc nous attendons un niveau de conformité de plus en plus élevé.
Cela se traduit par des contrôles plus exhaustifs et par une attente plus importante de documentation.
Les nouvelles règles du RGPD font encore l'objet de compréhension de la part de la CNIL mais les obligations préexistantes (finalités, durées de conservation, minimisation, droits "classiques", sécurité notamment) supportent peu d'indulgences.
Plus de deux ans après l'entrée en application du RGPD et en particulier grâce à la campagne massive de mise en conformité par l'ensemble des acteurs du marché, les organisations doivent faire un minimum. On ne peut plus dire qu'on n'est pas au courant.
Les entreprises manipulant de nombreuses données ou ayant leur coeur d'activité lié à la donnée ne peuvent pas se prévaloir d'une méconnaissance de la règlementation.
Quand le coeur de métier d'une entreprise est le traitement de données, il est difficile de se prévaloir d'une méconnaissance totale du RGPD.
La CNIL attend d'elles une conformité plus importante. À commencer par avoir un registre des activités de traitement à jour et suivi !
Des contrôles adaptés à la crise
Côté méthodes de contrôles, la CNIL privilégie les questionnaires et contrôles en ligne. Les contrôleurs préviennent les organismes en cas de contrôles sur place durant le contexte COVID (on peut imaginer que c'est pour être certain d'avoir les opérationnels) mais ce n'est pas la règle et ça n'empêche pas les contrôles inopinés.
Les TPE et Start up seraient moins concernées. On se doute que la CNIL met les moyens sur les grands acteurs de la donnée et sur les traitements mis en oeuvre par l'Etat ou autre concernant la santé de nos concitoyens.
Une chose est sûre, il est temps de s'y mettre et de sanctuariser sa conformité.
Des sanctions plus souples ?
La crise n'empêche pas les autorités de contrôle de prononcer des sanctions aux organismes qui ne respectent pas le RGPD. Pour autant, la crise a un impact sur le montant des sanctions. En effet, l'ICO (la CNIL britannique) a prononcé récemment des sanctions contre Mariott International et British Airways en réduisant drastiquement le montant des sanctions (passant notamment de 183 millions proposés à 20 millions de livres pour British Airways).