Entré en application le 25 mai 2018, le règlement général sur la protection des données personnelles (RGPD) a donné des sueurs froides à de nombreux dirigeants et responsables IT dans les entreprises et collectivités publiques. Bien décidée à surveiller de près sa mise en oeuvre, la CNIL vient de publier un premier bilan, 6 mois après son entrée en vigueur. Parmi les principaux chiffres à retenir, 1 000 notifications de violation de données ont été reçues par la commission, soit environ 7 par jour depuis le 25 mai dernier.

« Le règlement général sur la protection des données (Rég. UE 2016/679 du 27-4-2016) généralise l’obligation de notification des failles de sécurité à l’autorité de contrôle compétente et impose une nouvelle obligation de communication aux personnes concernées par une violation de leurs données personnelles », explique Virginie Bensoussan-Brulé, avocate et directrice du pôle contentieux numérique chez Alain Bensoussan Avocats Lexing, qui est intervenue à l'IT Tour Reims le 6 novembre 2018. « En vertu de cet article, le responsable du traitement doit notifier toute violation de données à caractère personnel à l’autorité de contrôle compétente dans les meilleurs délais, et si possible, 72 heures au plus tard après en avoir pris connaissance ».

6 000 plaintes reçues par la Cnil depuis le 25 mai 2018

Par ailleurs, on apprend également que 15 000 délégués à la protection des données (DPO) ont été nommés, contre 5 000 CIL (correspondants informatique et libertés) avant le RGPD.

Depuis le début de l’année, la Cnil indique par ailleurs avoir reçu 9 700 plaintes - dont 6 000 depuis le 25 mai - soit 34% de plus qu’en 2017 sur la même période. « On constate, dans le cadre de l’instruction de ces plaintes, qu’elles sont l’occasion, pour les organismes mis en cause, de repenser leur organisation notamment au regard de l’information des personnes et des modalités d’exercice des droits, comme le droit d’accès. En effet, les organismes reçoivent énormément de demandes de droit d’accès notamment, ce à quoi ils n’étaient manifestement pas assez préparés », a précisé la Cnil dans un communiqué.