En 2020, plusieurs points ont attiré l’attention de la CNIL, comme les cookies ou les droits des personnes concernées. L’autorité de protection des données durcit aujourd’hui ses contrôles et semble signer définitivement la fin de sa période d’indulgence. La mise en conformité au RGPD des entreprises doit être effective et s’inscrire dans la durée.
En 2020, la CNIL a prononcé huit amendes administratives. Si la plupart de ces sanctions ont été prononcées à l’encontre de grands groupes comme Spartoo, Amazon, Google, ou encore Carrefour, l’autorité de protection des données a aussi décidé de réprimer également les personnes physiques. En effet, le 7 décembre 2020, elle sanctionne deux médecins libéraux d’amendes de 3000 et 6000 euros pour leur manquement à la sécurité des données de leurs patients..
Il ressort des dernières décisions de la CNIL plusieurs éléments importants. Tout d’abord, aucun secteur n’échappe désormais à l’éxigence de la mise en œuvre de la conformité au RGPD.
Ensuite, la CNIL ayant publié sa dernière recommandation en matière de cookies en octobre 2020, elle n’a pas hésité à en faire immédiatement son cheval de bataille. Elle procède ainsi de plus en plus à des contrôles de sites internet pour vérifier leur conformité en matière de cookies. Tout laisse donc à penser qu’elle continuera sur sa lancée en 2021, et que le respect de la règlementation en matière de cookies est désormais indispensable pour les entreprises.
En outre, la CNIL a rendu publiques très récemment deux délibérations concernant l’exercice du droit des personnes (sociétés Nestor et Performeclic). Ces deux sociétés ont été sanctionnées pour défaut de consentement à la prospection commerciale. Cela signifie que le respect de l’exercice des droits des personnes (accès, suppression, rectification, opposition, limitation et portabilité) demeure un enjeu absolument prioritaire de la conformité au RGPD. Tout manquement à ces derniers pourraient donc facilement attirer l’attention et les foudres de la CNIL.
Enfin, il est essentiel d’avoir identifié les traitements de données personnelles nécessitant la réalisation d’une analyse d’impact sur la vie privée (ou PIA pour Privacy Impact Assessment) et d’avoir réalisé ces analyses. Elles sont en effet obligatoires lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées et permet d’attester de la conformité d’un traitement.
Les entreprises doivent donc en 2021 avoir finalisé leur conformité au RGPD et mis en place les mécanismes pour qu’elle s’inscrive dans la durée. Et, plus particulièrement, elles doivent se montrer très vigilantes sur leur conformité relative au dépôt des cookies, le suivi de l’exercice par les personnes concernées de leurs droits et sur la réalisation des analyses d’impact.