La CNIL ne s’est pas dotée d’une armée de contrôleur prête à sévir au 25 mai 2018. Elle a certes dû renforcer ses équipes suites aux nombreuses plaintes de particuliers, mais n’avait pas prévu d’adopter une approche « tout sanction » au jour de l’entrée en vigueur du RGPD, qui aurait par ailleurs contrastée avec son approche pédagogique habituelle. De plus, c’est en général après mise en demeure préalable que la CNIL prononce ses sanctions. Toutefois, quand bien même aucune sanction n’est prononcée en raison de la mise en conformité du responsable de traitement dans les délais impartis, la publicité de la mise en demeure peut porter un préjudice réputationnel et occasionner une perte de confiance des clients (voir notamment les mises en demeure publiques des mutuelles Humanis et Malakoff-Mederic https://www.cnil.fr/fr/groupes-humanis-et-malakoff-mederic-cloture-des-mises-en-demeure ). En tout état de cause, cette approche relativement tolérante ne devait opérer que dans un premier temps, et surtout, la plupart des principes fondamentaux relatifs à la licéité des traitements de données existaient avant l’entrée en vigueur du règlement. En conséquence, leur violation n’a pas bénéficié de la mansuétude de la CNIL. En effet, comme l’a expliqué Mathias Moulin, directeur de la protection des droits et des sanctions au sein de l’autorité de contrôle, il ne peut y avoir de tolérance lorsque le business model d’une entreprise repose sur une pratique illicite.
Il sera intéressant d’observer l’évolution des pratiques de sanctions de la CNIL depuis le changement de sa présidence, désormais occupée par Madame Marie-Laure Denis, ayant fait carrière entre autres à l’ARCEP ainsi qu’au CSA. La nouvelle Présidente a annoncé plus de fermeté envers les entreprises. Elle a cependant reconnu le sous-dimensionnement des effectifs de la CNIL, qui sont passés de 200 à 215 en 2019, au regard des enjeux. A noter, le programme de contrôle de la CNIL pour 2019 porte sur :
- Le respect des droits des personnes, renforcés depuis le 25 mai 2018 ;
- Le contrôle des responsabilités et conventions conclues entre responsables de traitement et sous-traitants, obligatoires, et enfin ;
- La protection des droits des mineurs sur internet.
Les contrôles peuvent également être déclenchés suite aux plaintes des personnes concernées, d’où l’importance d’assurer le respect effectif de leurs droits, grâce à des mentions d’information claires et complètes, ainsi que des mesures organisationnelles internes. Il est également important de s’assurer de la conformité des sites internets de son entreprise : ils constituent une vitrine et à ce titre, donnent une première idée du niveau de conformité d’un organisme.