• La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Une du journal La Tribune

Dernière édition

Flèche menu déroulant
Newsletters
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat

Sélectionnez votre région

Logo La Tribune

RECHERCHER

Loupe

LTD
La Tribune Dimanche
Ouvrir dans une nouvelle fenêtre
Air&Cosmos icon
Air&Cosmos
Ouvrir dans une nouvelle fenêtre

À la une
  • Finances publiques
  • Fiscalité
  • Immobilier
  • Consommation
  • Distribution
  • Politique internationale
  • Finances personnelles
  • Banque & assurances
  • Marchés financiers
  • Intelligence artificielle
  • High tech
  • Télécoms
  • Start-up
  • Énergie
  • Politique industrielle
  • Chimie & pharmacie
  • Automobile
  • Mobilités
  • Aéronautique
  • Défense
  • Spatial
  • Environnement
  • Agriculture & agroalimentaire
Idées & débats
Kiosque numériqueNewsletters
La Tribune DimancheLa Tribune AfriqueAir&Cosmos
  • La Tribune Now
  • Votre argent avec Finance Héros
  • Construire les mobilités de demain
  • Fonction Finance 2.0 avec Cegid
  • Transformations durables avec Forvis Mazars
  • Accélérer avec le Cloud par AWS
  • Fisher Investments
  • Au coeur du business
  • VisionAir avec Bpifrance
  • Adaptabilité permanente : Le pouvoir d’agir avec IBM Consulting
  • Succès d'entreprises avec Deloitte
  • L'Œil sur vos Finances
  • Les Rencontres de Roissy Meaux Aéropôle
  • France Travail accompagne le Salon des Maires
  • La CCI Paris Ile-de-France, le réflexe des entrepreneurs
  • #La Tribune Business Interviews
  • #La Tribune Business Dossiers
  • #La Tribune Business TV
  • Instant Sélection
Événements
Technos & MediasInternet

RGPD : « La Cnil sera plus ferme envers les entreprises » annonce sa présidente Marie-Laure Denis

Photo de Sylvain Rolland

Sylvain Rolland

Publié le 15 avril 2019 à 13:34 - Mis à jour le 12 décembre 2024 à 23:43

Cnil Marie-Laure Denis

Cnil Marie-Laure Denis

DR

L'essentiel de l'actualité

mardi 7 juillet

  • Lecornu préside un comité d’alerte sur les finances publiques
  • Météo-France maintient 61 départements en vigilance orange « canicule »
  • Le Canada choisit l’allemand TKMS pour sa nouvelle flotte de sous-marins
  • Marchés en Asie : Samsung fait chuter Séoul malgré des profits records
  • Le bénéfice d’exploitation de Samsung atteint des sommets
Voir plus

Le Quotidien Numérique

07 juillet 2026

Photo d'illustration de l'article
LireS'abonner

Les plus lus

  • 1

    Failles du contrôle aérien français : « Nous n'avons pas attendu les rapports pour agir » réplique le patron de la DGAC

  • 2

    Europlasma : « C’est l’État qui nous a demandé de reprendre des sociétés en mauvaise santé »

  • 3

    Après les voitures, l’État décline le « leasing social » aux pompes à chaleur

  • 4

    Face à la pénurie de médecins, la Mayenne tente encore d'inverser la tendance

  • 5

    Pêche : pourquoi le Gabon ferme l’accès des navires européens à ses eaux

  • 6

    Or : après avoir racheté des mines, le Burkina Faso face au défi de leur financement

Régions

  • Auvergne-Rhône-Alpes
  • Bourgogne-Franche-Comté
  • Bretagne
  • Centre-Val de Loire
  • Corse
  • Grand Est
  • Hauts-de-France
  • Île-de-France
  • Normandie
  • Nouvelle-Aquitaine
  • Occitanie
  • Pays de la Loire
  • Provence-Alpes-Côte d'Azur

La Tribune +

  • Espace abonné
  • Kiosque numérique
  • Annonces légales
  • Déposer vos annonces légales

Services

  • Supplément
  • La Tribune now

Evénements

  • ACT50
  • Aéroforum
  • AIM
  • Bordeaux Solar Summit
  • Family & Business Forum
  • Forum Europe Afrique
  • Impacts Santé
  • Les Lauréates
  • Paris Air Forum
  • Sommet Aéronautique & Spatial de Bordeaux
  • Sommet Économique de la Corse
  • Tech For Future
  • World News Media Congress
  • Tous nos événements en régions

Pour gérer vos consentements,

Suivez-nous sur les réseaux sociaux

YouTube
LinkedIn
Facebook
Instagram
X

Application mobile

App Store
Google Play

  • Nous Contacter
  • Charte d'indépendance et de déontologie
  • Mentions Légales
  • CGU
  • CGU Pro
  • Gestion des cookies
  • Exercez vos droits
  • Politique de confidentialité

Droits de reproduction et de diffusion réservés @LaTribune

Partenaire digital de confiance - Certification de qualité
  • La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Google icon
Ajouter La Tribune à vos sources préféréesAjouter La Tribune à vos sources préférées
ENTRETIEN EXCLUSIF. La nouvelle présidente de la Commission nationale de l'informatique et des libertés (Cnil), Marie-Laure Denis, se confie à La Tribune sur le bilan du RGPD près d'un an après son entrée en vigueur. Alors que la Cnil s'est montrée très "patiente", l'institution compte renforcer ses contrôles et ses sanctions pour pousser les entreprises et les organisations à accélérer leur mise en conformité. Sinon, les amendes, comme les 50 millions infligés à Google en janvier, pourraient pleuvoir...

LA TRIBUNE - Le RGPD a un an. Quel est d'après vous son impact sur la société et les entreprises ?

MARIE-LAURE DENIS - Le RGPD a accru la sensibilisation de tout le monde, entreprises comme particuliers, pouvoirs publics nationaux et locaux, sur les enjeux autour de la protection des données. Un sondage réalisé avec l'Ifop pour la Cnil montre que 70% des Français se disent sensibles à la protection des données, contre 66% en novembre. Le RGPD entraîne une prise de conscience collective. Son impact est massif puisqu'il concerne non seulement les 500 millions d'européens, mais aussi toutes les entreprises et organisations dans le monde entier qui traitent de données personnelles de citoyens européens.

Comment la Cnil gère-t-elle ses nouvelles obligations post-RGPD ?

Le site de la Cnil a enregistré 8 millions de visiteurs uniques l'an dernier, soit une augmentation de 80% sur un an. Il y a eu aussi plus de 300.000 consultations des questions/réponses (+60%) et près de 190.000 appels téléphoniques (+20%), dont 25.000 sur le seul mois de mai 2018, celui de l'entrée en vigueur du RGPD.

Cette sensibilisation des Français se traduit aussi par un record du nombre de plaintes : 11.077 ont été adressées à la Cnil en 2018 (+32,5%), dont un tiers dénoncent la diffusion de données sur Internet et 20% concernent le secteur du marketing et du commerce, notamment la prospection par SMS et la publicité par courrier électronique. 373 demandes de déréférencement des moteurs de recherche ont été reçues. La Cnil a aussi été auditionnée 30 fois au Parlement sur divers textes et projets de loi et a délivré 120 avis, soit un avis tous les trois jours, ce qui montre bien la transversalité des enjeux de protection des données personnelles. Le rôle de la Cnil dans l'espace public s'est accru.

Dès qu'une entreprise est amenée à traiter des données à grande échelle, elle doit se doter d'un Délégué à la protection des données (DPO), qui peut être internalisé, externalisé ou mutualisé avec d'autres entreprises. Combien y a-t-il de DPO aujourd'hui en France ?

On dénombre 17.000 DPO en France. Par le jeu des mutualisations, ils agissent pour le compte de plus de 51.000 entreprises et organisations.

Il y a donc 4 millions d'entreprises en France, mais seulement un peu plus de 50.000 disposent d'un DPO interne ou mutualisé. C'est très peu, non ?

La quasi-totalité des entreprises sont concernées par le RGPD car il y a des traitements de données partout. Mais toutes ne sont pas obligées d'avoir un DPO. Seules les entreprises publiques et celles qui traitent des données à grande échelle ou des données "sensibles" sont concernées. On estime que la France a besoin de 80.000 DPO. Il y a donc encore du travail à faire, mais c'est un bon début.

Newsletter

Tech & IA

Chaque jour à 13h, l’essentiel de l’actualité tech.

Illustration de la newsletter Tech & IA

Les experts du RGPD estiment que les entreprises du CAC40 sont globalement en conformité, mais que les TPE et les PME sont très en retard. Comment régler ce problème ?

Le grand changement du RGPD est le principe de responsabilisation : chacun gère soi-même sa conformité et doit être capable de la prouver. La Cnil fait donc beaucoup de pédagogie. Notre action est dirigée vers ceux qui ont le moins de moyens, c'est-à-dire les TPE, les PME, les startups et les acteurs publics locaux comme les communes.

De nombreux outils sont disponibles sur notre site : un guide spécial pour les TPE/PME; un logiciel en open source, téléchargé 150.000 fois et spontanément traduit par la communauté en 18 langues, qui facilite la réalisation d'études d'impact ; un modèle de registre simplifié ; des exemples de mentions d'information pour les usagers ; des éclairages sur des notions clés comme le profilage, le consentement ou les transferts de données. Depuis un mois, nous avons également lancé un Mooc sur les principes clés du RGPD: 27.500 personnes ont créé un compte et 10% poursuivent jusqu'à l'obtention d'une attestation.

Quid des sanctions ?

310 contrôles ont été effectués par la Cnil en 2018. Ceux-ci ont débouché sur 48 mises en demeure, dont 13 ont été rendues publiques. Et 11 sanctions, dont 9 pécuniaires, ont été prononcées. La Cnil a volontairement fait preuve de patience et de tolérance car le RGPD est un changement profond. Mais, même s'il est entré en application depuis seulement un an, le règlement a été adopté en 2016, il y a trois ans. Je considère qu'il faut désormais faire preuve de davantage de fermeté. Notre action de régulation ne sera efficace que si nous actionnons à parts égales les deux leviers à notre disposition, c'est-à-dire la pédagogie d'un côté, et le contrôle avec éventuellement des sanctions de l'autre.

Vous avez sanctionné Google d'une amende de 50 millions d'euros en janvier dernier. Le montant est un record, mais il ne représente que 0,04% de son chiffre d'affaires mondial, alors que le RGPD autorise de monter jusqu'à 4%, soit, dans le cas de Google, 5,4 milliards d'euros...

Comme nous l'expliquions dans notre décision, la sanction porte sur un manquement particulier qui concerne le marché français. Je rappelle qu'avant le RGPD, les sanctions étaient plafonnées à 250.000 euros, donc même si 50 millions peuvent paraître peu pour Google, ce montant est tout de même inédit.

Est-ce un message envoyé aux géants du Net et aux autres grands groupes signifiant que la Cnil n'hésitera pas à utiliser l'arme des sanctions ?

Les grands groupes et les géants du Net ont un devoir d'exemplarité et une grande responsabilité sociétale. La Cnil sera donc très vigilante. Cela ne signifie pas non plus que nous allons concentrer nos contrôles uniquement sur les grandes entreprises. Notre but n'est évidemment pas de compliquer la vie des TPE et des PME, mais elles doivent être en conformité si elles traitent de grands volumes de données. Je ne sous-estime pas la complexité -financière et technique- de leur mise en conformité. Mais, avec tous les outils que nous mettons à disposition et le travail mené avec les têtes de réseau dans une logique sectorielle, il est possible de se mettre en conformité sans trop de contraintes.

La sanction contre Google est le fruit d'une action de groupe portée par l'ONG None of your business (NOYB) et La Quadrature du Net. La société civile s'est-elle emparée de cette nouvelle possibilité permise par le RGPD ?

Les actions de groupe sont une chance car elles réduisent l'atomisation de l'individu face à l'univers numérique et donnent une dimension sociale à la protection des données. Leur traitement est une priorité dans le cadre de la coopération entre les Cnil européennes, même si, forcément, cela prend du temps. La Cnil a reçu des actions de groupe contre Google, Apple, Facebook, Amazon, LinkedIn et Criteo. Celle contre Google a déjà fait l'objet de sanctions de la Cnil car Google n'avait pas encore désigné son établissement principal, qui est désormais situé en Irlande. Mais les autres -à l'exception de Criteo aussi traitée en France- sont traitées par les Cnil du lieu où ces entreprises ont localisé leur responsabilité de traitement en Europe, donc en Irlande pour Apple, Facebook et LinkedIn, et au Luxembourg pour Amazon.

Quelles sont vos priorités de contrôle pour 2019 ?

Le premier axe est le respect de tous les droits des individus comme le droit de rectification, d'opposition, d'oubli, le déréférencement, etc. Le deuxième est le contrôle des sous-traitants, tous secteurs confondus, qui doivent aussi être conformes, même s'ils n'ont pas affaire au consommateur final, en travaillant notamment avec les têtes de réseau dans chaque secteur. Le troisième axe est la protection des droits des mineurs sur Internet, sur les réseaux sociaux, notamment. Enfin, je souhaite que la Cnil exploite davantage les plaintes des concitoyens pour y répondre au plus vite, tout en sachant que 20% des plaintes reçues font l'objet d'une coopération européenne.

Le RGPD introduit la notion du consentement libre et éclairé. Mais, dans les faits, beaucoup de sites forcent ce consentement en imposant à l'internaute d'accepter les traitements de données sous peine de ne plus pouvoir accéder au service. C'est le cas pour Facebook et Twitter, entre autres. Allez-vous sévir ?

La sanction contre Google illustre la volonté de la Cnil d'exiger un consentement réellement éclairé. Dans ce cas, nous avons sanctionné le manque de clarté : les informations étaient trop disséminées, il y avait des cases pré-cochées... Il est clair que la manière dont certains sites obtiennent le consentement de l'utilisateur pose problème. On a tous été confrontés à « la fatigue du consentement », le moment où on appuie sur le bouton « J'accepte » par lassitude. Mais on doit pouvoir accéder au service tout en refusant l'exploitation des données à des fins publicitaires. Il faut veiller à ce que, à terme, ces pratiques ne favorisent pas un Internet à deux vitesses: d'un côté, un Internet gratuit où les utilisateurs sont tracés et où le consentement est forcé, et, de l'autre, un Internet payant sûr en matière de protection des données.

La recherche d'un consentement libre fera l'objet de contrôles et éventuellement de sanctions. Par ailleurs, il faut privilégier autant que possible le "privacy by design", qui amène les acteurs à prendre en compte les enjeux autour des données dès la conception des services numériques.

En obligeant les entreprises à notifier les violations de données sous 72 heures, la Cnil est aussi devenue un acteur de la cybersécurité...

Oui. Cette obligation de transparence et de réaction sous 72 heures est importante pour protéger les données des personnes. En 2018, nous avons reçu plus de 1.100 signalements, soit presque quatre par jour. Plusieurs personnes, à la Direction des technologies, sont en alerte pour apporter à ces signalements une réponse rapide, avec la possibilité de sanctionner en cas de violations graves.

Pourquoi ne pas rendre publiques toutes les mises en demeure et les sanctions que vous prononcez ?

Le but n'est pas de faire du « name and shame ». Si le manquement cesse, s'il concerne une petite entreprise, avec un impact limité, pourquoi le médiatiser ? Si le manquement est important, s'il concerne des centaines de milliers de personnes, si l'organisme n'a pas fait preuve de beaucoup de bonne foi ou de volonté d'y remédier, et si la publicité peut avoir un impact sur toute une profession, alors il est important de médiatiser. La médiatisation des sanctions doit avoir un but pédagogique.

L'an dernier, votre prédécesseure, Isabelle Falque-Pierrotin, avait dénoncé le « manque de moyens » de la Cnil pour exercer correctement ses missions, notamment pour le contrôle de l'application du RGPD. Partagez-vous son constat ?

Il y a effectivement un sous-dimensionnement des effectifs de la Cnil par rapport aux enjeux et au renforcement de ses missions, tant pour l'accompagnement que pour le contrôle et les sanctions. La Cnil a aussi besoin de moyens pour continuer d'être un acteur incontournable dans la diplomatie de la donnée en Europe. A la fin de l'année 2019, la Cnil aura 215 employés, contre 200 fin 2018. C'est donc un début de réponse, qu'il faut saluer et qui, je l'espère, sera amplifiée en 2020.

La Cnil est-elle victime d'une crise des talents ? Avec le RGPD, beaucoup d'anciens employés sont recrutés dans le privé pour devenir des DPO ou montent leur propre structure d'accompagnement à la conformité. Avez-vous des problèmes pour recruter ?

Il est normal d'avoir un turn-over dans une structure de 215 personnes. J'y vois aussi un aspect positif car, si on nous débauche des talents, c'est que la Cnil a des talents. Sous réserve du respect de la déontologie, c'est plutôt une bonne chose qu'une personne dotée d'une vision « cnilienne » de la protection des données, essaime des bonnes pratiques en entreprise, même si cela créé des contraintes en interne.

Malgré tout, la Cnil reste attractive. Nos postes de juristes motivent énormément de candidatures car un passage à la Cnil est une formidable carte de visite dans une carrière. Nous avons plus de mal à recruter des postes d'ingénieurs, mais c'est un problème qui touche aussi d'autres structures publiques.

Quelles sont vos ambitions pour votre mandat à la tête de la Cnil, que vous avez débuté en février ?

À lire également

  • Facebook est "un menteur pathologique sans moralité" pour la Cnil néo-zélandaise
  • RGPD : la Cnil lève la mise en demeure de Vectaury, startup de ciblage publicitaire
  • Données personnelles : Google écope d'une amende record de 50 millions d'euros par la CNIL
  • Amende de 250.000 euros : la Cnil sanctionne Bouygues Télécom
  • La Cnil met à l'amende Uber pour vol de données

Je ne compte pas réinventer la lumière car les missions de la Cnil sont bien engagées. Un marqueur de succès de notre mission sera le renforcement de la confiance des usagers du numérique, et que les entreprises abordent le RGPD non pas comme une contrainte mais comme une opportunité et un avantage comparatif. Je souhaite aussi que la Cnil contribue à concilier les intérêts légitimes de sécurité avec l'impératif de protection des données et de respect de la vie privée. La capacité d'expertise de la Cnil sur les usages numériques doit aussi être renforcée : nous avons des chantiers pour rendre plus visibles les enjeux de protection des données dans le design, les assistants vocaux, le cloud ou encore l'Internet des objets.

Propos recueillis par Sylvain Rolland

Sylvain Rolland

Sur le même sujet

Kyndryl, spin-off d'IBM, a choisi Sophia-Antipolis pour installer son Digital Hub spécial IA et Cyber

Intégrer l’IA dans ses outils internes, l’enjeu de souveraineté pour les TPE et PME

Alors que les grands groupes développent des solutions d’IA internalisées et dédiées, les TPE et PME, conscientes des enjeux, sont restreintes par leurs moyens. Avant même le défi de la sécurisation des données, c’est l’existence d’IA adaptées aux besoins réels de ces entreprises qui conditionne leur usage.

Premium
Tech & IA
En cinq ans, Netflix a vu sa marge opérationnelle passer d’environ 18 % à plus de 30 %.

Pourquoi Netflix, Amazon et Disney+ veulent faire tomber les règles françaises d’investissement dans l’audiovisuel

Les géants du streaming ont déposé un recours devant le Conseil d’État pour contester le nouveau décret d’obligation d’investissement dans l’audiovisuel.

Tech & IA
Pendant que Meta reste bloqué depuis fin 2024, Google a lui renouvelé son accord dès janvier 2025 et prépare l'arrivée d'AI Overviews en France.

Presse française : les droits voisins, enjeu crucial face aux géants du numérique

Une décision sur les droits voisins de Meta est attendue cette semaine, près de deux mois après l'arrêt de la Cour de justice de l'Union européenne imposant l'autorisation préalable des éditeurs de presse. Pendant ce temps, la loi Balanant durcit les sanctions et Google prépare l'arrivée d'AI Overviews en France en promettant une rémunération spécifique.

Premium
Tech & IA
UBI Solutions poursuit sa stratégie de croissance en reprenant CEMI, une PME française placée en redressement judiciaire.

Le dijonnais UBI Solutions reprend CEMI au tribunal de commerce pour accélérer sur l'IA

UBI Solutions, spécialiste dijonnais de la traçabilité connectée, poursuit sa stratégie de croissance externe en reprenant CEMI, une PME placée en redressement judiciaire en février dernier. Au-delà du sauvetage d'une entreprise historique, l'opération illustre la volonté du groupe de consolider un marché composé de nombreuses sociétés vieillissantes.

Premium
Tech & IA
Une nouvelle mouture de l'IA Act a adopté au mois de juin à Bruxelles.

IA à haut risque : le grand flou de la réglementation européenne

En repoussant à fin 2027 les obligations pour les intelligences artificielles à « haut risque », Bruxelles a suscité l’indignation de beaucoup d’associations et d'eurodéputés. Mais l'absence de définition claire du concept de « haut risque » empêche toujours les éditeurs de comprendre si leur solution pourrait en faire partie ou pas.

Premium
Intelligence Artificielle
Photo d'illustration de l'article

Après le redéploiement de Claude Fable 5, Anthropic dévoile une échelle de gravité des "jailbreaks"

Le département américain du Commerce a lèvé les restrictions sur Fable 5 d'Anthropic, remis en ligne après 19 jours d'interdiction. Anthropic s'engage à une cybersécurité proactive et dévoile un cadre pour classer les "jailbreaks" d'IA.

Premium
Intelligence Artificielle
French Tech Tremplin

Diversité dans la tech : le programme Tremplin supprimé par la Mission French Tech

Sacrifié sur l'autel des restrictions budgétaires et considéré comme pas assez efficace, le programme Tremplin, qui devait favoriser la diversité sociale et culturelle dans le milieu très blanc et masculin de la tech, s'arrêtera en juin 2027. Un nouveau programme baptisé Nova, moins coûteux et centré sur le scale-up, prendra la relève.

Premium
Start-up
Les émissions de Google et Amazon augmentent désormais plus vite que leurs ventes.

Climat : l’IA fait exploser les émissions carbone de Google et d’Amazon

Google a rejeté 18,8 millions de tonnes équivalent CO2 en un an (+82 % depuis 2019), Amazon 80,85 millions (+58 %). Les deux groupes polluent désormais plus par dollar de revenu généré, une première pour Amazon depuis 2021, malgré leurs promesses de neutralité carbone.

Intelligence Artificielle