Force est de constater, plus de quatre années après l’entrée en vigueur du RGPD, que la conformité des entreprises françaises à ce règlement n’est pas encore acquise. Plus particulièrement la conformité des TPE et PME reste à largement à améliorer, faute souvent de volonté et de moyens suffisants octroyés pour cette démarche. Les efforts minimum n’ont parfois pas été fournis, et même au sein des plus grandes entreprises, un manque de culture de protection des données personnelles est parfois à déplorer.
Sous cet angle, la démarche pédagogique de la CNIL est à elle seule insuffisante. Cependant, il ne faut pas nier l’un des effets majeurs de l’entrée en vigueur du RGPD et des immenses efforts de pédagogie déployés par la CNIL (diffusion de nombreux supports d’information sectoriels, de cours en ligne ou « MOOC« , etc.), à savoir la diffusion, au sein du grand public, d’une certaine culture de la protection des données personnelles. Ce sujet souvent oublié avant 2018 a bien été approprié par l’opinion publique, à défaut de l’être systématiquement par les chefs d’entreprise.
Le bilan de l’activité de la CNIL pour 2022 n’a pas encore été publié, mais à cette occasion seront présentées ses thématiques prioritaires de contrôle (pour rappel en 2022 : prospection commerciale, cloud et surveillance du télétravail) et cela donnera une idée de ses ambitions pour cette nouvelle année.
Il sera également intéressant à lire à plusieurs égards : outre l’augmentation des effectifs de la CNIL, qui laisse augurer des contrôles élargis, les cibles des contrôles seront également intéressantes à analyser. L’année 2021 avait notamment marqué des contrôles renforcés des éditeurs d’applications en lien avec la gestion de la pandémie et/ou les données de santé. L’année 2022 a ouvert la voie à de nouveaux risques dans les traitements de données personnelles, avec notamment une augmentation significative des cyberattaques.
A noter, ces axes prioritaires annuels s’inscrivent plus largement dans un programme pluriannuel 2022/2024 dont les objectifs sont :
- améliorer de façon effective la maîtrise et le respect des droits des personnes concernées par les traitements ;
- Convaincre les organisations de l’atout que constitue le respect du RGPD, vecteur de confiance ;
- Prioriser les actions CNIL sur les sujets à fort enjeu pour la vie privée, dont notamment l’usage des caméras augmentées et leurs usages, les transferts de données dans le cloud et la souveraineté numérique (dans la suite de l’arrêt dit « Schrems II »), et enfin, renforcer la conformité des applications mobiles, dont les traitements manquent souvent de transparence.
Les chantiers sont donc nombreux et il sera intéressant de voir quelles sont les priorités de la CNIL en 2023, en cohérence avec le plan pluriannuel annoncé.