La Commission européenne vient de publier le deuxième rapport sur l’application du règlement général sur la protection des données (RGPD). Il dresse un état des lieux.
Dans ce rapport, la Commission européenne réaffirme la nécessité de soutenir les PME dans leur mise en conformité, en insistant sur des “orientations plus claires et plus pratiques de la part des autorités chargées de la protection des données, et sur une interprétation et une application plus cohérentes du RGPD dans l’ensemble de l’UE“.
Les autorités ont intensifié leurs activités coercitives, infligeant des amendes substantielles pour des violations significatives du RGPD. Ainsi, 20 000 enquêtes de leur propre initiative ont été lancées. Plus de 100 000 réclamations sont traitées chaque année, avec des délais variant de 1 à 12 mois. “Plus de 20 000 réclamations ont été réglées à l’amiable, notamment en Autriche, en Hongrie, au Luxembourg et en Irlande“, constatent les auteurs.
Les autorités allemandes chargées de la protection des données ont adopté le plus grand nombre de décisions imposant des mesures correctrices (3 261), suivies par l’Espagne (774), la Lituanie (308) et l’Estonie (332).
Au total, “les autorités chargées de la protection des données ont infligé plus de 6 680 amendes pour un montant d’environ 4,2 milliards d’euros”. L’autorité irlandaise a infligé le montant total d’amendes le plus élevé (2,8 milliards d’euros), suivie du Luxembourg (746 millions d’euros), de l’Italie (197 millions d’euros) et de la France (131 millions d’euros)”. Les sanctions devraient continuer à s’intensifier.
Les auteurs rappellent que les autorités offrent divers outils de mise en conformité tels que les codes de conduite, les mécanismes de certification et les clauses contractuelles types. Cependant, ces outils restent peu utilisés ou sont délaissés par les grands groupes. Les entreprises peuvent les utiliser pour simplifier leur mise en conformité et réduire les formalités administratives ou les risques.
Concernant les conditions d’exercice des DPO, le rapport mentionne “plusieurs défis restent à relever, notamment : i) des difficultés à nommer des délégués à la protection des données possédant l’expertise requise ; ii) l’absence de normes à l’échelle de l’UE en matière d’éducation et de formation ; iii) l’absence d’intégration adéquate des délégués à la protection des données dans les processus organisationnels ; iv) le manque de ressources ; v) des tâches supplémentaires en dehors de la protection des données ; et vi) une ancienneté insuffisante“. La Commission pointe également, qu’il est nécessaire que les autorités chargées de la protection des données intensifient leurs activités de sensibilisation, ainsi que leurs actions d’information et de contrôle de l’application des règles afin de veiller à ce que les délégués à la protection des données puissent remplir leur rôle.
Enfin, le rapport indique que les actions futures doivent se concentrer sur la rigueur de l’application, le soutien aux parties prenantes, notamment les PME, l’installation d’un dialogue avec les responsables de traitement et les sous-traitants, ainsi que l’amélioration de la coopération internationale en matière de protection des données.