La CNIL prévient : elle va concentrer son action de contrôle sur le respect des droits, le traitement des données des mineurs, et la répartition des responsabilités entre responsable de traitements et sous-traitants.
“En s’abstenant jusqu’ici de sanctionner le non-respect des obligations nouvelles du RGPD, et en focalisant son action répressive sur les obligations s’inscrivant dans la continuité de la loi du 6 janvier 1978, la CNIL souhaitait permettre aux responsables de traitement de comprendre et d’assimiler progressivement les exigences du RGPD adopté en 2016“, explique la CNIL. Mais cette phase de transition est dorénavant terminée, prévient l’Autorité de contrôle. Le respect des nouvelles obligations et nouveaux droits issus du cadre européen (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations) va être pleinement vérifié et, en cas de manquements, les sanctions suivront. Dans la continuité de ses méthodes précédentes, la CNIL personnalisera ses mesures correctrices, en fonction notamment “de la gravité des manquements, de la bonne foi de l’organisme et de sa coopération.”
A quels contrôles d’attendre ?
La CNIL s’attaque aux plaintes portant sur le non-respect de l’exercice d’un droit, alors qu’elles ont représentés 73 % de celles reçues en 2018 par l’Autorité. Pour le RGPD, l’obligation de portabilité des données sera dans le viseur. Les entreprises doivent assurer une réponse claire et complète aux personnes, et cela dans le respect des délais prévus par les textes.
Deuxième axe de contrôle : le traitement des données des mineurs, un public « vulnérable ». Une thématique vaste, qui va de la publication de contenus sur les réseaux sociaux à la mise en œuvre de traitements biométriques dans les écoles.
Enfin, la CNIL s’attaque aux nouvelles obligations pesant sur les sous-traitants et dont ils sont directement comptables avec le RGPD. “Orienter la politique de contrôle, notamment sur l’existence et le respect du contrat de sous-traitance, permettra de s’assurer de la mise en œuvre concrète de ces nouvelles obligations susceptibles d’être à l’origine de nombreux manquements“, prévient-elle.
De façon plus conjoncturelle, la CNIL prendra en compte les réclamations et les signalements qui lui auront été adressés, continuera ses vérifications à la suite de clôture, de mises en demeure ou de sanctions, ou des sujets d’actualité qui se présenteront. L’Autorité compte également renforcer les opérations de contrôles conjointes avec ses homologues européens.