Les Échos
Les contrôles de la CNIL se sont-ils durcis depuis l’entrée en vigueur du RGPD ?
Les contrôles sont plus denses. Nous vérifions plus de points. Depuis l’entrée en vigueur du RGPD en 2018, les responsables des traitements de données à caractère personnel sont nécessairement de plus en plus au courant de leurs obligations, donc nous attendons un niveau de conformité de plus en plus élevé. Par ailleurs, la loi informatique et libertés, qui prévoit une durée de conservation des données et un nettoyage des bases de données, date déjà de 1978. Nous sommes donc moins indulgents sur certains points.
Comment se déroulent les contrôles pendant l’épidémie de Covid-19 ?
Nous nous adaptons forcément au contexte sanitaire. Pendant la période « Covid-19 », les TPE, PME et start-up font l’objet de moins de contrôles. Pour autant, il n’y a pas « zéro contrôle ». Mais il est clair que nous avons concentré nos efforts sur les systèmes d’information de suivi de l’épidémie tels que le Sidep, ainsi que sur l’application StopCovid.
Les contrôles sur questionnaire et par audition sont privilégiés, pendant la crise. Et pour les contrôles sur place, nous avertissons désormais les organismes de notre arrivée quarante-huit heures en amont. Mais cela n’a pas vocation à devenir une règle générale, qui est celle d’un contrôle inopiné.
Comment différencier un manquement d’une négligence ?
Il revient à nos deux services des contrôles de déterminer ce qui relève d’une négligence ou alors d’une volonté de ne pas appliquer le RGPD. Aujourd’hui, il est un peu délicat de dire que l’on n’est pas du tout au courant de la réglementation. Quand le coeur de métier d’une entreprise est le traitement de données, il est difficile de se prévaloir d’une méconnaissance totale du RGPD.
Jonathan Grelier