Plus d’un an s’est déjà écoulé depuis l’entrée en vigueur du Règlement Général sur la Protection des Données.
Jusqu’à aujourd’hui, la grande majorité des entreprises a échappé aux contrôles et aux sanctions de la CNIL. Désormais, la période de transition est terminée et chaque entreprise doit impérativement pouvoir justifier de sa conformité avec le RGPD.
Dès le 25 juin 2018, le Règlement européen a reçu un accueil plutôt nuancé auprès des entreprises. Dans un premier temps, ces dernières se sont montrées frileuses face à un texte souvent considéré trop complexe et difficile à mettre en œuvre. En particulier, en 2018, plus de 80 % des PME dans le secteur du commerce n’étaient toujours pas en conformité.
C’est pourquoi, la CNIL a œuvré grandement pour faciliter auprès des PME la mise en conformité au RGPD, en émettant des guides, avis, modèles ou clauses types.
Dans le même temps, la CNIL a prononcé des sanctions lourdes envers d’entités qui bénéficiaient de moyens humains et financiers suffisants pour organiser rapidement leur mise en conformité.
Ainsi, des sanctions ont notamment été prononcées à l’encontre de Google (50 millions d’euros) ou de SERGIC (400 000 euros) pour atteintes graves à la protection des données.
Toutefois, après un an d’applicabilité, le secrétaire général de la CNIL, M. Jean Lessi, a récemment annoncé « Nous sommes effectivement arrivés au terme de cette période de transition. 2019 fait office d’année charnière », tout en recherchant « un juste équilibre entre d’un côté la pédagogie et l’accompagnement, et de l’autre les contrôles et les sanctions ».
Cette déclaration doit constituer un avertissement pour les PME et TPE qui se considéraient jusqu’à présent à l’abri d’éventuelles sanctions de la CNIL.
En effet, plus de 12 000 plaintes ont été déposées en France depuis l’entrée en vigueur du RGPD, et plus de 145 000 en Europe.
Aujourd’hui, le nombre de plaintes relatives à une violation de données personnelles est en constante augmentation (30% ces six derniers mois). Ces chiffres s’expliquent notamment par la procédure de dépôt de plainte en ligne et anonyme qui facilite le dépôt de signalement de pratiques contraires au RGPD.
Grâce à ces plaintes, les agents de la CNIL peuvent procéder aux contrôles préliminaires en ligne en se mettant à la place du consommateur qui navigue sur internet. Ces derniers peuvent alors procéder, dans un second temps, à des investigations plus poussées.
Les menaces de la CNIL ont récemment été mises en application : le 13 juin 2019, elle a condamné une TPE de 9 salariés, qui avait placé ses salariés sous vidéosurveillance constante, à une amende de 20 000 euros. En l’espèce, la procédure avait été engagée par la CNIL, suite à une plainte de quatre salariés de l’entreprise.
La perspective d’un départ conflictuel de salariés ou de collaborateurs doit donc faire prendre conscience aux dirigeants des risques liés au non-respect de la protection de leurs données.
Tout entrepreneur doit aujourd’hui se convaincre que la conformité au RGPD est une exigence impérative et que les contrôles de la CNIL vont être de plus en plus nombreux, notamment grâce à l’augmentation prochaine annoncée de ses effectifs.
—
Marseille, le 30 août 2019