RGPD : « La Cnil sera plus ferme envers les entreprises » annonce sa présidente Marie-Laure Denis

 |   |  2232  mots
Marie-Laure Denis, la nouvelle présidente de la Cnil.
Marie-Laure Denis, la nouvelle présidente de la Cnil. (Crédits : DR)
ENTRETIEN EXCLUSIF. La nouvelle présidente de la Commission nationale de l'informatique et des libertés (Cnil), Marie-Laure Denis, se confie à La Tribune sur le bilan du RGPD près d'un an après son entrée en vigueur. Alors que la Cnil s'est montrée très "patiente", l'institution compte renforcer ses contrôles et ses sanctions pour pousser les entreprises et les organisations à accélérer leur mise en conformité. Sinon, les amendes, comme les 50 millions infligés à Google en janvier, pourraient pleuvoir...

LA TRIBUNE - Le RGPD a un an. Quel est d'après vous son impact sur la société et les entreprises ?

MARIE-LAURE DENIS - Le RGPD a accru la sensibilisation de tout le monde, entreprises comme particuliers, pouvoirs publics nationaux et locaux, sur les enjeux autour de la protection des données. Un sondage réalisé avec l'Ifop pour la Cnil montre que 70% des Français se disent sensibles à la protection des données, contre 66% en novembre. Le RGPD entraîne une prise de conscience collective. Son impact est massif puisqu'il concerne non seulement les 500 millions d'européens, mais aussi toutes les entreprises et organisations dans le monde entier qui traitent de données personnelles de citoyens européens.

Comment la Cnil gère-t-elle ses nouvelles obligations post-RGPD ?

Le site de la Cnil a enregistré 8 millions de visiteurs uniques l'an dernier, soit une augmentation de 80% sur un an. Il y a eu aussi plus de 300.000 consultations des questions/réponses (+60%) et près de 190.000 appels téléphoniques (+20%), dont 25.000 sur le seul mois de mai 2018, celui de l'entrée en vigueur du RGPD.

Cette sensibilisation des Français se traduit aussi par un record du nombre de plaintes : 11.077 ont été adressées à la Cnil en 2018 (+32,5%), dont un tiers dénoncent la diffusion de données sur Internet et 20% concernent le secteur du marketing et du commerce, notamment la prospection par SMS et la publicité par courrier électronique. 373 demandes de déréférencement des moteurs de recherche ont été reçues. La Cnil a aussi été auditionnée 30 fois au Parlement sur divers textes et projets de loi et a délivré 120 avis, soit un avis tous les trois jours, ce qui montre bien la transversalité des enjeux de protection des données personnelles. Le rôle de la Cnil dans l'espace public s'est accru.

Dès qu'une entreprise est amenée à traiter des données à grande échelle, elle doit se doter d'un Délégué à la protection des données (DPO), qui peut être internalisé, externalisé ou mutualisé avec d'autres entreprises. Combien y a-t-il de DPO aujourd'hui en France ?

On dénombre 17.000 DPO en France. Par le jeu des mutualisations, ils agissent pour le compte de plus de 51.000 entreprises et organisations.

Il y a donc 4 millions d'entreprises en France, mais seulement un peu plus de 50.000 disposent d'un DPO interne ou mutualisé. C'est très peu, non ?

La quasi-totalité des entreprises sont concernées par le RGPD car il y a des traitements de données partout. Mais toutes ne sont pas obligées d'avoir un DPO. Seules les entreprises publiques et celles qui traitent des données à grande échelle ou des données "sensibles" sont concernées. On estime que la France a besoin de 80.000 DPO. Il y a donc encore du travail à faire, mais c'est un bon début.

Les experts du RGPD estiment que les entreprises du CAC40 sont globalement en conformité, mais que les TPE et les PME sont très en retard. Comment régler ce problème ?

Le grand changement du RGPD est le principe de responsabilisation : chacun gère soi-même sa conformité et doit être capable de la prouver. La Cnil fait donc beaucoup de pédagogie. Notre action est dirigée vers ceux qui ont le moins de moyens, c'est-à-dire les TPE, les PME, les startups et les acteurs publics locaux comme les communes.

De nombreux outils sont disponibles sur notre site : un guide spécial pour les TPE/PME; un logiciel en open source, téléchargé 150.000 fois et spontanément traduit par la communauté en 18 langues, qui facilite la réalisation d'études d'impact ; un modèle de registre simplifié ; des exemples de mentions d'information pour les usagers ; des éclairages sur des notions clés comme le profilage, le consentement ou les transferts de données. Depuis un mois, nous avons également lancé un Mooc sur les principes clés du RGPD: 27.500 personnes ont créé un compte et 10% poursuivent jusqu'à l'obtention d'une attestation.

Quid des sanctions ?

310 contrôles ont été effectués par la Cnil en 2018. Ceux-ci ont débouché sur 48 mises en demeure, dont 13 ont été rendues publiques. Et 11 sanctions, dont 9 pécuniaires, ont été prononcées. La Cnil a volontairement fait preuve de patience et de tolérance car le RGPD est un changement profond. Mais, même s'il est entré en application depuis seulement un an, le règlement a été adopté en 2016, il y a trois ans. Je considère qu'il faut désormais faire preuve de davantage de fermeté. Notre action de régulation ne sera efficace que si nous actionnons à parts égales les deux leviers à notre disposition, c'est-à-dire la pédagogie d'un côté, et le contrôle avec éventuellement des sanctions de l'autre.

Vous avez sanctionné Google d'une amende de 50 millions d'euros en janvier dernier. Le montant est un record, mais il ne représente que 0,04% de son chiffre d'affaires mondial, alors que le RGPD autorise de monter jusqu'à 4%, soit, dans le cas de Google, 5,4 milliards d'euros...

Comme nous l'expliquions dans notre décision, la sanction porte sur un manquement particulier qui concerne le marché français. Je rappelle qu'avant le RGPD, les sanctions étaient plafonnées à 250.000 euros, donc même si 50 millions peuvent paraître peu pour Google, ce montant est tout de même inédit.

Est-ce un message envoyé aux géants du Net et aux autres grands groupes signifiant que la Cnil n'hésitera pas à utiliser l'arme des sanctions ?

Les grands groupes et les géants du Net ont un devoir d'exemplarité et une grande responsabilité sociétale. La Cnil sera donc très vigilante. Cela ne signifie pas non plus que nous allons concentrer nos contrôles uniquement sur les grandes entreprises. Notre but n'est évidemment pas de compliquer la vie des TPE et des PME, mais elles doivent être en conformité si elles traitent de grands volumes de données. Je ne sous-estime pas la complexité -financière et technique- de leur mise en conformité. Mais, avec tous les outils que nous mettons à disposition et le travail mené avec les têtes de réseau dans une logique sectorielle, il est possible de se mettre en conformité sans trop de contraintes.

La sanction contre Google est le fruit d'une action de groupe portée par l'ONG None of your business (NOYB) et La Quadrature du Net. La société civile s'est-elle emparée de cette nouvelle possibilité permise par le RGPD ?

Les actions de groupe sont une chance car elles réduisent l'atomisation de l'individu face à l'univers numérique et donnent une dimension sociale à la protection des données. Leur traitement est une priorité dans le cadre de la coopération entre les Cnil européennes, même si, forcément, cela prend du temps. La Cnil a reçu des actions de groupe contre Google, Apple, Facebook, Amazon, LinkedIn et Criteo. Celle contre Google a déjà fait l'objet de sanctions de la Cnil car Google n'avait pas encore désigné son établissement principal, qui est désormais situé en Irlande. Mais les autres -à l'exception de Criteo aussi traitée en France- sont traitées par les Cnil du lieu où ces entreprises ont localisé leur responsabilité de traitement en Europe, donc en Irlande pour Apple, Facebook et LinkedIn, et au Luxembourg pour Amazon.

Quelles sont vos priorités de contrôle pour 2019 ?

Le premier axe est le respect de tous les droits des individus comme le droit de rectification, d'opposition, d'oubli, le déréférencement, etc. Le deuxième est le contrôle des sous-traitants, tous secteurs confondus, qui doivent aussi être conformes, même s'ils n'ont pas affaire au consommateur final, en travaillant notamment avec les têtes de réseau dans chaque secteur. Le troisième axe est la protection des droits des mineurs sur Internet, sur les réseaux sociaux, notamment. Enfin, je souhaite que la Cnil exploite davantage les plaintes des concitoyens pour y répondre au plus vite, tout en sachant que 20% des plaintes reçues font l'objet d'une coopération européenne.

Le RGPD introduit la notion du consentement libre et éclairé. Mais, dans les faits, beaucoup de sites forcent ce consentement en imposant à l'internaute d'accepter les traitements de données sous peine de ne plus pouvoir accéder au service. C'est le cas pour Facebook et Twitter, entre autres. Allez-vous sévir ?

La sanction contre Google illustre la volonté de la Cnil d'exiger un consentement réellement éclairé. Dans ce cas, nous avons sanctionné le manque de clarté : les informations étaient trop disséminées, il y avait des cases pré-cochées... Il est clair que la manière dont certains sites obtiennent le consentement de l'utilisateur pose problème. On a tous été confrontés à « la fatigue du consentement », le moment où on appuie sur le bouton « J'accepte » par lassitude. Mais on doit pouvoir accéder au service tout en refusant l'exploitation des données à des fins publicitaires. Il faut veiller à ce que, à terme, ces pratiques ne favorisent pas un Internet à deux vitesses: d'un côté, un Internet gratuit où les utilisateurs sont tracés et où le consentement est forcé, et, de l'autre, un Internet payant sûr en matière de protection des données.

La recherche d'un consentement libre fera l'objet de contrôles et éventuellement de sanctions. Par ailleurs, il faut privilégier autant que possible le "privacy by design", qui amène les acteurs à prendre en compte les enjeux autour des données dès la conception des services numériques.

En obligeant les entreprises à notifier les violations de données sous 72 heures, la Cnil est aussi devenue un acteur de la cybersécurité...

Oui. Cette obligation de transparence et de réaction sous 72 heures est importante pour protéger les données des personnes. En 2018, nous avons reçu plus de 1.100 signalements, soit presque quatre par jour. Plusieurs personnes, à la Direction des technologies, sont en alerte pour apporter à ces signalements une réponse rapide, avec la possibilité de sanctionner en cas de violations graves.

Pourquoi ne pas rendre publiques toutes les mises en demeure et les sanctions que vous prononcez ?

Le but n'est pas de faire du « name and shame ». Si le manquement cesse, s'il concerne une petite entreprise, avec un impact limité, pourquoi le médiatiser ? Si le manquement est important, s'il concerne des centaines de milliers de personnes, si l'organisme n'a pas fait preuve de beaucoup de bonne foi ou de volonté d'y remédier, et si la publicité peut avoir un impact sur toute une profession, alors il est important de médiatiser. La médiatisation des sanctions doit avoir un but pédagogique.

L'an dernier, votre prédécesseure, Isabelle Falque-Pierrotin, avait dénoncé le « manque de moyens » de la Cnil pour exercer correctement ses missions, notamment pour le contrôle de l'application du RGPD. Partagez-vous son constat ?

Il y a effectivement un sous-dimensionnement des effectifs de la Cnil par rapport aux enjeux et au renforcement de ses missions, tant pour l'accompagnement que pour le contrôle et les sanctions. La Cnil a aussi besoin de moyens pour continuer d'être un acteur incontournable dans la diplomatie de la donnée en Europe. A la fin de l'année 2019, la Cnil aura 215 employés, contre 200 fin 2018. C'est donc un début de réponse, qu'il faut saluer et qui, je l'espère, sera amplifiée en 2020.

La Cnil est-elle victime d'une crise des talents ? Avec le RGPD, beaucoup d'anciens employés sont recrutés dans le privé pour devenir des DPO ou montent leur propre structure d'accompagnement à la conformité. Avez-vous des problèmes pour recruter ?

Il est normal d'avoir un turn-over dans une structure de 215 personnes. J'y vois aussi un aspect positif car, si on nous débauche des talents, c'est que la Cnil a des talents. Sous réserve du respect de la déontologie, c'est plutôt une bonne chose qu'une personne dotée d'une vision « cnilienne » de la protection des données, essaime des bonnes pratiques en entreprise, même si cela créé des contraintes en interne.

Malgré tout, la Cnil reste attractive. Nos postes de juristes motivent énormément de candidatures car un passage à la Cnil est une formidable carte de visite dans une carrière. Nous avons plus de mal à recruter des postes d'ingénieurs, mais c'est un problème qui touche aussi d'autres structures publiques.

Quelles sont vos ambitions pour votre mandat à la tête de la Cnil, que vous avez débuté en février ?

Je ne compte pas réinventer la lumière car les missions de la Cnil sont bien engagées. Un marqueur de succès de notre mission sera le renforcement de la confiance des usagers du numérique, et que les entreprises abordent le RGPD non pas comme une contrainte mais comme une opportunité et un avantage comparatif. Je souhaite aussi que la Cnil contribue à concilier les intérêts légitimes de sécurité avec l'impératif de protection des données et de respect de la vie privée. La capacité d'expertise de la Cnil sur les usages numériques doit aussi être renforcée : nous avons des chantiers pour rendre plus visibles les enjeux de protection des données dans le design, les assistants vocaux, le cloud ou encore l'Internet des objets.

Propos recueillis par Sylvain Rolland

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 17/04/2019 à 13:47 :
Comment voulez-vous recruter des gens qualifiés comme les ingénieurs pour diriger le domaine public, comme c'est le cas dans la société civile et dans tous les pays développés ? Le coeur du problème du domaine public vient justement de l'absence de vrais dirigeants, car il n'offre aucune possibilité de recruter des ingénieurs (il n'existe aucun CDI public avec le niveau salarial et la reconnaissance du diplôme adéquats !). A la place, on met des fonctionnaires généralistes, des énarques, mais qui n'ont aucune compétence pour diriger ! D'où l'absence de pilotage des projets publics, de contrôle de résultat et de qualité, les dépenses mal gérées, l'endettement massif du domaine public qui ne peut que s'aggraver.
Je suis donc POUR la suppression de l'ENA et la mise en CDI de tous les postes de direction en ouvrant largement leur accès aux compétences de la société civile, seule à pouvoir les fournir.
L'autre façon d'en finir avec la gabegie de gestion des fonds publics c'est une vraie décentralisation par la fusion des services publics départementaux et régionaux (Etat et Collectivités locales) dans un gouvernement régional, avec la décentralisation des budgets ! Tout le monde y verra plus clair, les dirigeants régionaux porteront la responsabilité directe du développement économique, ils seront jugés pour cela par les citoyens, qui pourront aussi par leur proximité contrôler ce qui est fait de l'argent public, alors qu'aujourd'hui l'hyper centralisation rend tout opaque et incontrôlable.
L'Etat redeviendra un Etat stratège et non à s'occuper (et mal) de mille choses qui ne relèvent pas de ses compétences.
a écrit le 16/04/2019 à 15:09 :
Il est toujours plus difficile de faire confiance dans des structures sensés vous protégez "d'en haut" alors que la base n'a pas le moyen de contrôle! Quand on sollicite l'instauration d'un R.I.C. ce n'est pas pour rien!

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :