Sabine Marcellin, avocate au barreau de Paris, associée du cabinet Aurore Legal.
et Laurent Marcoz, responsable de la practice RGPD chez OAKLand Group
Depuis mai 2018, la CNIL a démontré son efficacité dans l’application du RGPD. La crise sanitaire a bousculé les pratiques et le périmètre d’utilisation des données personnelles par les entreprises. Si la CNIL a su intégrer ces évolutions rapidement, les entreprises doivent faire de même en se tenant au courant de ces adaptations.
Avant l’entrée en vigueur du règlement, la CNIL a encouragé les entreprises à renforcer la protection des données personnelles. A noter que le nombre de contrôles depuis 2017 est relativement stable en France, avec plus de 300 par an, sachant que les indicateurs officiels de 2019 ne sont pas encore publiés. Ce qui marque surtout les esprits, c’est la hausse des sanctions financières, à côté d’une amende record de 50 millions d’euros pour absence de consentement valable à la personnalisation de la publicité, de nombreuses sanctions sont motivées par une atteinte à la sécurité des données.
La situation de crise sanitaire a amplifié les usages de données personnelles. La CNIL a particulièrement été active durant cette période, notamment pour le lancement de l’application de suivi StopCovid, pour lequel elle a formulé un avis positif. La généralisation du télétravail ou encore l’usage des drones font également partie de l’actualité touchant les organisations et traitée par la CNIL.
L’usage des données de santé et de géolocalisation vient au centre des débats, y compris pour les entreprises. Ces dernières, qui jusqu’alors traitaient occasionnellement ces données sensibles, doivent rester vigilantes, car aujourd’hui, de ce fait, elles s’exposent à des sanctions de la CNIL qu’elles n’avaient pas anticipées.
Au-delà des sanctions financières, la publication d’une décision nuit fortement à la réputation des entreprises. La CNIL est en mesure d’appliquer un certain nombre de décisions contraignantes, comme l’obligation de mise en conformité d’un traitement, sa limitation, voire son interdiction. Il faut tout de même mentionner que toutes les sanctions ne font pas l’objet d’une décision de publication par la CNIL, notamment si l’entreprise contrôlée a fait preuve de bonne foi. Toutefois, afin de se tenir prêtes, les entreprises doivent veiller à suivre ces évolutions.