Force est de constater que le Règlement RGPD, pourtant entré en application le 25 mai 2018, peine à être pleinement déployé par les organismes effectuant des traitements de données personnelles. Tel est l’enseignement que l’on peut tirer du « Bilan 2022 de l’action répressive de la CNIL » publié le 31 janvier 2023. La CNIL nous rappelle la nécessité de mettre son activité en conformité avec la législation applicable afin de garantir la sécurité et l’intégrité des données personnelles.
Que retenir des actions de la CNIL en 2022 ?
Au cours de l’année 2022, la CNIL a prononcé 21 sanctions pécuniaires pour un montant total de plus de 101 millions d’euros à l’encontre d’organismes ayant porté atteinte à la sécurité des données personnelles et adressé 147 mises en demeure de demande de mise en conformité, soit près de 4 fois plus qu’en 2018 ! Ces chiffres en constante hausse depuis quatre ans rappellent que la CNIL n’est pas qu’une autorité de conseil et d’information mais dispose également d’un pouvoir de contrôle et de sanction dont elle fait usage. Les sujets de mise en garde au cours de l’année passée ont été variés et demeurent d’actualité pour 2023 :
- Absence de désignation d’un DPO (Délégué à la protection des données).
- Défaut de recueil du consentement des personnes concernées à de la prospection commerciale.
- Transmission de données personnelles entre partenaires commerciaux non conformes.
- Transfert de données personnelles issues de cookies vers les États-Unis (via l’outil Google Analytics) sans mise en œuvre de garanties et de mesures de sécurité complémentaires appropriées.
- Défaut d’information et de recueil du consentement pour le dépôt et la lecture de traceurs (cookies) sur le terminal des utilisateurs d’un site internet.
En 2023, que faire ?
Le temps de la transition et de l’adaptation est bel et bien terminé! Quelle que soit sa taille et son secteur, tout organisme qui traite des données personnelles doit impérativement procéder à la mise en conformité de son activité à la législation applicable et garantir la sécurité et l’intégrité des données personnelles, sous peine d’être rappelé à l’ordre par la CNIL voire d’être sanctionné. Il s’agit d’un travail de longue haleine qui nécessite de procéder de manière structurée étape par étape: cartographier les données personnelles collectées et les opérations de traitement effectuées, identifier les besoins prioritaires et établir un plan d’actions de conformité adapté et encadrer contractuellement les relations de sous-traitance de données personnelles et les transferts de données personnelles, y compris hors de l’Union Européenne.
Le cabinet DE CARNÉ AVOCAT vous accompagne dans la mise en œuvre progressive de la conformité globale de votre activité. Pour toute demande d’informations ou d’accompagnement, n’hésitez pas à prendre contact avec Maître Ludovic de Carné pour un premier rendez-vous de cadrage de vos besoins.