Dans ses décisions du 8 et 30 octobre 2018, la CNIL a ordonné la suppression de respectivement 14 et 42 millions d’enregistrements de données personnelles, collectées sans le consentement des personnes concernées. Même s’il s’agit de deux décisions et de deux entreprises distinctes, le motif est le même : la géolocalisation via des applications mobiles.
C’est un coup dur pour toutes les entreprises qui pensaient que la CNIL n’effectuerait pas de contrôle avant longtemps. En effet, dans sa décision MED-2018-042, la CNIL précise que le contrôle de la « seconde entreprise » a eu lieu le 19 avril 2018, soit « avant » le 25 mai 2018, date d’entrée en vigueur du Règlement Général de Protection des Données (RGPD).
C’est également un coup dur pour les entreprises qui pensaient que nommer un Délégué à la Protection des Données (DPO) les protègeraient. En effet, dans sa décision MED-2018-043, la CNIL précise que le contrôle de la « première entreprise » a été effectué le 29 mai 2018, soit « après » l’entrée en vigueur du RGPD… et 15 jours après la nomination d’un DPO au sein de cette entreprise.
Ces deux décisions illustrent à quel point il est préférable de traiter le sujet RGPD par une approche des risques pour l’entreprise (telle que détaillée dans notre précédent dossier disponible sur simple demande), plutôt que par une approche strictement séquentielle, qui repousse d’autant le début de la conformité effective.
Une des erreurs trop souvent faite est de vouloir appliquer depuis l’entrée en vigueur du RGPD une méthodologie qui s’appliquait antérieurement au 25 mai 2018, et qui supposait d’avoir le temps d’achever la démarche avant la date fatidique.
Bref, il n’est pas trop tard pour démarrer ou finaliser votre conformité RGPD, mais mieux vaut le faire rapidement, et de manière agile…
Werner KLINGER
Ingénieur Conseil RGPD.