La CNIL a publié hier son rapport d'activité 2021.
Comme toujours, le rapport est très riche d'enseignements sur la pratique de la protection des données personnelles en France.
On constate que les indicateurs sont tous en augmentation ce qui n'est pas surprenant.
On peut déjà mettre le focus sur 3 éléments intéressants :
Sur les violations de données :
De plus en plus de notification de violations de données sont envoyées à la CNIL, c'est une bonne chose car cela veut dire que de plus en plus d'entreprises lèvent le voile sur ces violations de données et les gèrent de manière professionnelle.
Néanmoins on est encore très loin du compte : sur l'ensemble de l'année, cela n'a concerné qu'environ 5000 incidents, alors qu'on peut estimer le nombre bien plus important.
En effet, la majorité des notifications qui ont lieu font suite à des attaques informatiques, donc des incidents visibles. Or il y a beaucoup d'incidents non visibles, cela veut dire que beaucoup d'entreprises ne mettent pas encore en place de processus intégrés pour pouvoir détecter et piloter ces incidents de sécurité, d'autant plus que d'après notre étude, 40% des DPO manquent de moyens, ce qui veut dire que l'application du RGPD n'est pas suffisamment forte pour amener des ressources pour mettre en place ces processus internes et en particulier le registre obligatoire des incidents de sécurité prévu par l'article 33 du RGPD.
Sur les plaintes liées à la vidéosurveillance au travail des salariés :
Ce qu'il faut savoir, c'est que la réalisation d'une analyse d'impact sur la vie privée (PIA) est requise quasi systématiquement pour tous les traitements mettant en œuvre de la vidéosurveillance.
83% des plaintes reçues par la CNIL sur le secteur du travail concernait la vidéosurveillance, ce sujet de la vidéosurveillance tend à se multiplier grâce à la simplicité et la disponibilité des caméras. Cela révèle un manque de culture des employeurs sur l'étendue de leurs obligations au regard du droit à la vie privée de leurs salariés et du RGPD.
En effet ces dispositifs doivent faire l'objet d'une analyse d'impact, mais ce que nous constatons chez Dastra est qu'encore trop peu d'entreprises réalisent ces PIA parce qu'ils ne sont pas prioritaires, ou tout simplement parce que ces dispositifs sont installés depuis longtemps et que le besoin de réaliser ces PIA n'est pas identifié.
Le saviez-vous ? Avec Dastra, vous identifiez automatiquement vos traitements qui doivent faire l'objet d'un PIA Consultez gratuitement notre guide pratique sur les AIPD
Il faut relever que les employés sont de plus en plus alertes sur ce sujet du RGPD et de la surveillance au travail (surtout avec l'explosion du télétravail), et que le besoin de transparence se fait de plus en plus criant sur ce dispositif afin de maintenir la confiance entre les employés et l'employeur.
Sur les sanctions :
La CNIL a eu une année explosive en termes de sanctions et de mise en demeure cette année, avec un montant de 214 millions d'euros répartis en 18 sanctions et 135 mises en demeures.
Néanmoins aujourd'hui, les contrôles de la CNIL ne sont pas les seuls moyens de vérifier l'application du RGPD. Depuis un arrêt du 28 avril 2022 de la Cour de justice de l'Union européenne (CJUE), les associations de consommateurs peuvent enclencher des actions en justice et en réparation directement sans avoir à justifier de potentiels plaignants et peuvent désormais agir de manière autonome.
Ce qui veut dire que la probabilité de devoir prouver sa conformité au RGPD est accrue, d'autant que les écarts de conformité constatés sur le terrain sont systématiques (information des personnes, sécurité des données, durées de conservation etc.).
Le risque d'image et financier de non-conformité au RGPD des entreprises augmente.
Réduisez vos risques de non-conformité avec Dastra, logiciel de conformité RGPD : réalisez vos audits de conformité RGPD, de sécurité. Gérez les demandes d'exercices de droits RGPD et vos PIA directement depuis notre plateforme simple et guidée. Créez un compte gratuitement sur ce lien.
Fin 2021, 81 393 organismes avaient désigné un DPO.
Quelques chiffres issus du rapport annuel
