Pouvez-vous nous faire un bilan d’étape des actions mises en place par la CNIL depuis le lancement du RGPD ?
Le service de l’expertise technologique de la CNIL, que j'anime, a pour mission d’aider les citoyens et les entreprises à appréhender les nouvelles technologies et les enjeux qui y sont associés en matière de protection de la vie privée. Dans le cas du RGPD, il s’agit de les aider à se mettre en conformité.
En plus d’avoir ardemment travaillé à l’interprétation du texte, nous avons élaboré divers outils.
Parmi eux, il y a des référentiels dans des domaines variés : gestion clients et prospects, gestion des impayés, vigilance sanitaire, ressources humaines ou encore gestion des cabinets médicaux.
La CNIL a aussi adopté deux référentiels pour la certification de compétences des délégués à la protection des données (DPO). L’un pour agréer des certificateurs, l’autre pour qu'ils évaluent les candidats à la certification. Nous envisageons la délivrance des premiers agréments au cours du 1 er semestre. Une autre forme de texte, inédite, est le règlement-type qui fixe un cadre exigeant et protecteur pour le contrôle d’accès par biométrie. Nous travaillons aussi à l’élaboration d’une dizaine de codes de conduite.
En plus d’avoir ardemment travaillé à l’interprétation du texte, nous avons élaboré divers outils.
Parmi eux, il y a des référentiels dans des domaines variés : gestion clients et prospects, gestion des impayés, vigilance sanitaire, ressources humaines ou encore gestion des cabinets médicaux.
La CNIL a aussi adopté deux référentiels pour la certification de compétences des délégués à la protection des données (DPO). L’un pour agréer des certificateurs, l’autre pour qu'ils évaluent les candidats à la certification. Nous envisageons la délivrance des premiers agréments au cours du 1 er semestre. Une autre forme de texte, inédite, est le règlement-type qui fixe un cadre exigeant et protecteur pour le contrôle d’accès par biométrie. Nous travaillons aussi à l’élaboration d’une dizaine de codes de conduite.
Qu’il s’agisse de recommander, certifier ou règlementer, ce sont tous des textes cadres qui actualisent la doctrine de la CNIL au regard du RGPD et listent les conditions à respecter pour s’y conformer. Certains seront portés au niveau européen via l’ European Data Protection Board, qui coordonne une douzaine de groupes de travail. Toutes les autorités de contrôle n’ont pas les mêmes moyens, mais il y a une vraie volonté de se coordonner et d’harmoniser les processus au niveau européen.
Le RGPD doit aussi permettre de mieux lutter contre la cyber-criminalité : quelles mesures sont nécessaires pour répondre aux exigences du règlement ?
La cyber-sécurité fait partie intégrante de la protection de la vie privée.
Dans son article 32, le RGPD rappelle que les mesures doivent être proportionnées aux risques sur les droits et libertés des personnes - qui proviennent d’atteintes à la disponibilité, à l'intégrité ou à la confidentialité des données.
Les mesures citées dans le RGPD - chiffrement, pseudonymisation, etc. - ne sont que des exemples, qui ne sont pas des arguments de protection suffisants. Il convient d’intégrer sécurité et protection de la vie privée dès la conceptualisation des projets.
Mesures de base, mesures d’hygiène informatique, et si nécessaire, étude de risques de sécurité. Le recours aux bonnes pratiques, aux normes internationales type ISO/IEC 270xx et aux prestataires et produits certifiés, contribuent aussi à traiter ces risques et à apporter la confiance.
Dans son article 32, le RGPD rappelle que les mesures doivent être proportionnées aux risques sur les droits et libertés des personnes - qui proviennent d’atteintes à la disponibilité, à l'intégrité ou à la confidentialité des données.
Les mesures citées dans le RGPD - chiffrement, pseudonymisation, etc. - ne sont que des exemples, qui ne sont pas des arguments de protection suffisants. Il convient d’intégrer sécurité et protection de la vie privée dès la conceptualisation des projets.
Mesures de base, mesures d’hygiène informatique, et si nécessaire, étude de risques de sécurité. Le recours aux bonnes pratiques, aux normes internationales type ISO/IEC 270xx et aux prestataires et produits certifiés, contribuent aussi à traiter ces risques et à apporter la confiance.
En 2018, la CNIL a reçu 190.000 appels et 11.000 plaintes. Elle a aussi permis d’infliger une amende record à Google. A-t-elle les moyens de renforcer encore ses actions ?
Le lancement du RGPD a provoqué un « effet buzz », une soudaine prise de conscience qui s’est notamment traduite par l’explosion du volume de plaintes car les citoyens et/ou salariés ont compris qu’ils avaient des droits à défendre.
Plutôt que de traiter chaque question unitairement, la CNIL a développé une stratégie à destination des têtes de réseaux : associations, clusters régionaux, etc. Ces entités bien organisées sont nos interlocuteurs directs et nos relais auprès de leurs réseaux. Dans la même dynamique d’optimisation des efforts, nous allons très prochainement mettre en ligne un MOOC ( massive open online course) sur les principes fondamentaux du RGPD, destiné à toute personne ayant à traiter des questions de vie privée et de protection des données.
- Il y a aussi eu un réel effet dans le milieu de la sécurité, au sein duquel il existait peu de réglementation.
Plutôt que de traiter chaque question unitairement, la CNIL a développé une stratégie à destination des têtes de réseaux : associations, clusters régionaux, etc. Ces entités bien organisées sont nos interlocuteurs directs et nos relais auprès de leurs réseaux. Dans la même dynamique d’optimisation des efforts, nous allons très prochainement mettre en ligne un MOOC ( massive open online course) sur les principes fondamentaux du RGPD, destiné à toute personne ayant à traiter des questions de vie privée et de protection des données.
- Enfin, nous allons accompagner plus spécifiquement les collectivités locales et les PME qui ont encore besoin d’être rassurées, via des fiches sur divers thèmes qui les intéressent particulièrement, comme le téléservice, la mutualisation, la sécurité…
Ainsi, l’intérêt marqué qui se manifeste actuellement, reste à concrétiser. Les organisations doivent désormais consolider leur prise de conscience, savoir s’évaluer pour s’améliorer. En un mot, elles doivent développer leur maturité.
Matthieu Grall, merci. Propos recueillis par Cynthia Glock pour Veille Magazine
Matthieu Grall interviendra lors de la conférence proposée par le Gac Group.
