Depuis le 25 mai 2018 et l’entrée en vigueur du RGPD, que s’est-il passé ?
Une augmentation significative du nombre de plaintes reçues
En France, la CNIL a reçu 742 notifications de violation, concernant les données personnelles de plus de 33 millions de français[1]. Actuellement, elle a traité ou continue de traiter 2’294 plaintes. C’est une hausse de 64% par rapport à 2017.
L’autorité Belge de protection des données, l’ADP, a mis en place le top 5 des secteurs lui ayant notifié les 347 violations de données personnelles depuis le mois de mai : 1) la santé 2) les assurances 3) les administrations publiques et de défense 4) les télécoms 5) la finance
Des causes de violation des données différenciées selon les pays membres
Au Luxembourg, le CNPD[2] a relevé les causes de violation des données sont dans la majorité des cas des actes internes non malveillants comme une erreur de diffusion des données.
En France, la CNIL relève que 65% des notifications étaient liées à des actes malveillants externes et 15% seulement correspondaient à des actes internes non malveillants interne (une erreur humaine).
[thrive_leads id=’21371′]
Une recrudescence des activités frauduleuses : phishing et scam
De nombreuses tentatives de hameçonnage ont eu lieu sur des noms de domaine tels que @electronicprivacy.eu, @webflip.eu, @yauo.me, @rgpd.guru. En Suisse, toute tentative d’hameçonnage peut être dénoncée sur la plateforme MELANI.
Certaines entreprises ont reçu des courriers « officiels » émanant des Autorités de supervision. La CNIL a publié une alerte vigilance afin d’aider les entreprises à agir contre les pratiques abusives[3].
D’importantes notifications de violations de données
Dans le courant du mois de septembre, 30 millions de compte Facebook ont été hackés et 14 millions d’entre eux ont eu leurs données personnelles et sensible volées (nom prénom état des relations, religion, lieu de naissance, lieu de travail historique de recherche et historique d’activation des localisations).
Facebook Ireland ltd en se référant à l’article 85 du Data Protection act. 1998 a notifié la violation des données à l’autorité de supervision Irlandaise « Irish Data Protection Commission » le 28 septembre[4]. Une enquête a été diligentée. Dans le même temps, Facebook a diligenté une enquête interne continue de prendre des mesures tendant à prévenir et à réduire le risque de fuite de vol de perte de destruction de rançonnage des données des utilisateurs.
En notifiant dans les délais impartis par l’article 85 DPA « undue delay » ou « à brève échéance », la notification de violation des données Facebook a pu éviter le prononcé d’une amende qui aurait pu atteindre, étant donné l’exposition et les antécédents de Facebook, la somme de 10’000’000 d’euros ou 2% de son CA annualisé.
Des premiers contrôles et les premières sanctions
Au Portugal, l’autorité de supervision Portugaise le CNPD[6] a ainsi infligé dans le courant de cet été une sanction financière de 400 000 euros au Centre Hospitalier Barreiro-Montijo sur la base de trois infractions au RGPD : 1) violation des principes d’intégrité et de confidentialité des données, 2) violation du principe de limitation d’accès aux données et 3) incapacité pour le responsable du traitement des données à garantir l’intégrité des données en constatant que plusieurs personnels administratifs avaient des accès réservés aux médecins.
Les Etats membres de l’UE continuent de se doter d’une réglementation RGPD et des Etats tiers s’en inspirent
Malgré l’entrée en vigueur du RGPD, certains États membres viennent tout juste d’adapter leur législation comme :
- Le parlement finlandais qui a finalement adopté la Tietosuojalaki[8] le 13 novembre dernier.
- L’Espagne a quant à elle adopté la ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales le 21 novembre 2018.
Certains Etats membres ont pris du retard.
La Californie a récemment adopté une loi allant dans le sens du RGPD, The California Consumer Privacy Act[9] ou la « California’s Mini GDPR » applicable au 1er janvier 2020. Un projet similaire est en cours au niveau fédéral. Par ailleurs et afin de lutter contre la cybercriminalité dans le domaine des dispositifs médicaux, la FDA[10] a publié des lignes directrices concernant la gestion de la cyber sécurité dans les dispositifs médicaux qu’elle a soumis à consultation avant adoption définitive.
Un premier pas a été franchi pour la Confédération par la transposition de la Directive Police, le 28 septembre 2018, dans la Loi sur la Protection des données Schengen ou LPDS. La révision complète de la LPD pour se conformer au RGPD est en cours de discussion au National.
Les premiers travaux de l’EDPB – European Data Protection Board
L’EDPB a remplacé au 25 mai le G 29 ou des 28 autorités de supervision. Ce comité européen regroupe les 28 autorités de supervision Européenne. Il dispose de pouvoirs étendus pour trancher des litiges entre autorités nationales de surveillance, ainsi que pour donner des conseils et des orientations sur les concepts clés de la directive « police » et du règlement général sur la protection des données[11].
L’un des premiers actes de l’EDPB a été de reprendre certains travaux du G29 pour assurer la continuité des travaux précédents.
- La ligne directrice sur l’Analyse d’impact relative à la Protection des Données (AIPD) du G29 du 04 avril 2017 avait rappelé l’obligation pour les autorités de contrôle de publier et de communiquer au superviseur européen une liste des opérations de traitement pouvant déclencher une AIDP. Les 28 autorités de contrôles ont transmis une liste de 260 opérations de traitement. Le 26 septembre, 22 avis ont été rendus par l’EDPB sur ces listes.
- Une ligne directrice concernant la portée territoriale du RGPD a été publiée le 16 novembre 2018.
Que pouvons-nous retenir ?
- La présence persistante de mesures techniques et organisationnelles non efficaces telles que :
- l’absence de formation des collaborateurs ou
- une politique de droit d’accès totalement obsolète,
- ou encore l’absence de mesures techniques efficaces tendant à la protection des données personnelles, y compris par la maison mère hors UE d’une filiale située dans l’UE
- Une notification dans les temps des violations de données personnelles
- Une surveillance accrue des autorités sur le respect des droits des personnes concernées
- Une augmentation notable des activités des autorités de supervision
- Un alignement progressif des législations des Etats non UE sur le RGPD.
Que pouvons-nous faire et que pouvons-nous envisager ?
Les autorités de contrôles, dotées des moyens et des attributions administratives renforcées, sont en mesure de mener des enquêtes. Elles commencent à sanctionner lourdement les entreprises qui ont failli à assurer l’une quelconque de ses obligations au titre de la RGPD.
Les États se dotent de législations s’inspirant fortement de la RGPD.
Pour toute organisation, il s’agit de :
- Se mettre en conformité.
- Ne pas se croire à l’abri, ne pas faire preuve d’une confiance trop importante sur ses process existants.
- Former, sensibiliser à la protection des données et à la cybersécurité vos collaborateurs.
Pour conclure….
Pendant des années, nous avons alimenté les entreprises plus ou moins consciemment et plus ou moins volontairement de nos données. Qu’ont-elles fait de nos données ?
Avec le RGPD, la question que doit se poser toute entreprise n’est plus la collecte ni l’utilisation sans raison des données, mais la mise en place d’une data gouvernance compliant respectueuse de la vie privée de chacun.
Arnaud Jugan – Consultant Expert Compliance – Redsen Consulting Suisse
Vous souhaitez en savoir plus sur la RGPD ? :
- https://www.redsen.com/fr/telechargement-de-livre-blanc-gdpr
- https://www.redsen.com/fr/inspired/transformation-digitale/rgpd-magasins-connectes
- https://www.redsen.com/fr/inspired/compliance/rgpd-les-6-evolutions-majeures
Les sources :
[1] Source : 20 Minutes
[6] Source : Comissão Nacional de Proteção de Dados & CIO
[7] Source : Agencia Española de proteción de datos
[9] Souce : Assembly Bill No. 375
[10] Source : FDA : Food and Drug Administration “content of premarket submissions for management of cybersecurty in Medical Devices”
[11] Source : Commission Européenne