Jean Lessi (Cnil) "Nous voulons pouvoir certifier un produit ou un service conforme au RGPD"
Le secrétaire général de la Cnil fait le point avec le JDN à l'occasion du premier anniversaire du règlement européen sur les données personnelles. Et évoque les chantiers en cours.
JDN. Le RGPD est entré en vigueur il y a tout juste un an, le 25 mai 2018. Quel bilan tirez-vous ?
Jean Lessi. Le premier constat c'est que le RGPD a ouvert les yeux de beaucoup de monde sur les enjeux, droits et obligations en matière de protection des données personnelles, qu'il s'agisse du monde de l'entreprise ou des citoyens. Et ça ne concerne pas uniquement les nouveautés qui accompagnent le texte, type nomination d'un DPO ou privacy impact assessment. Certaines règles qui existent depuis plusieurs dizaines d'années ont été redécouvertes, voire même, pour certains, découvertes. On croise par exemple encore très fréquemment des problèmes de sécurisation des données personnelles lors des contrôles que nous effectuons. C'est pourtant une obligation très ancienne.
On peut tout de même dire que les entreprises se sont bien asppropriées le RGPD. Aujourd'hui, près de 53 000 organismes s'appuient sur un délégué à la protection des données, le fameux DPO. Toutes les entreprises ne le font pas encore, mais les choses avancent. On observe d'ailleurs une très forte mutualisation de la fonction entre différentes entreprises. J'en veux pour preuve le fait qu'on compte entre 15 000 et 20 000 DPO en France.
Quels sont aujourd'hui les principaux écueils relatifs à l'application du RGPD ?
Il reste encore des articles qu'il faut interpréter à l'aune de la pratique. Je pense notamment au sujet de la répartition des responsabilités qui doit être clarifiée entre les différentes parties prenantes : le responsable de traitement, le responsable conjoint ou encore le sous-traitant. Le CEPD, le groupe des Cnil européennes, y travaille actuellement. Un autre point clé est le sujet de la base légale qui est appliquée par les entreprises dans le traitement des données personnelles. Elles disposent de plusieurs options : le recueil du consentement, l'invocation de l'intérêt légitime ou le recours à un contrat. Nous voulons leur donner un mode d'emploi pour choisir la base légale la plus appropriée.
Aucune entreprise ne peut se dire aujourd'hui 100% conforme avec le RGPD, tout simplement parce qu'il n'existe pas de certification officielle. A quand des sociétés agrémentées ?
Je tiens déjà à rappeler que nous avons été parmi les premières Cnil européennes à adopter des référentiels en matière de certification des compétences du DPO. C'était fin 2018. Nous avons déjà reçu les premières demandes d'agréments en provenance d'organismes qui devraient donc pouvoir, d'ici fin 2019, délivrer des certifications aux DPO compétents. En ce qui concerne votre question, on ne pourra pas certifier une entreprise dans sa globalité. Mais nous voulons en revanche pouvoir certifier un produit ou un service qu'elle propose. Nous réfléchissons pour l'instant aux modalités de cette certification pour savoir ce qui peut être certifié et comment.
La Cnil avait annoncé qu'elle ferait preuve de bienveillance dans un premier temps vis-à-vis des entreprises qui ont du mal à se mettre en conformité. Allez-vous désormais faire preuve de plus de sévérité ?
Quand une obligation nouvelle et compliquée fait son apparition, on en tient bien évidemment compte dans notre manière d'agir. D'où la bienveillance que vous évoquez. Mais nous sommes effectivement arrivés au terme de cette période de transition. 2019 fait office d'année charnière. Nous voulons trouver un juste équilibre entre d'un côté la pédagogie et l'accompagnement, et de l'autre les contrôles et les sanctions.
Parlons des sanctions justement. Beaucoup de walled gardens imposent aujourd'hui à l'internaute d'accepter les traitements de données sous peine de ne plus pouvoir accéder au service. On est loin d'un consentement libre et éclairé tel que le définit le RGPD. C'est problématique…
"Si on subordonne l'accès au service à un consentement qui porte sur des fonctionnalités non indispensables, comme la publicité, il y a un souci."
Il ne vous a sans doute pas échappé que nous avions infligé une amende de 50 millions d'euros à Google. Cette sanction repose notamment sur l'absence de récolte d'un consentement éclairé et spécifique auprès des utilisateurs qui créent un compte Android et qui doivent, à ce moment-là, consentir en bloc à tout un tas de finalités. Nous sommes donc très vigilants sur ce point. Tout comme nous ferons très attention à la notion de liberté du consentement. Notamment dans les cas où l'utilisateur qui ne donne pas son consentement ne peut pas accéder à un service. Si le traitement des données personnelles est indispensable au bon fonctionnement du service, c'est compréhensible. En revanche, si on subordonne l'accès au service à un consentement qui porte sur des fonctionnalités non indispensables, comme la publicité, il y a un souci.
L'ancienne présidente de la Cnil, Isabelle Falque-Pierrotin, avait dénoncé le manque de moyens de la Cnil pour exercer correctement ses missions, notamment pour le contrôle de l'application du RGPD. Partagez-vous son constat ?
C'est certain que nos moyens restent insuffisants au regard du regain d'activité qu'a généré le RGPD. Tous les métiers de la Cnil craquent, comme au sein d'un habit un peu étroit, pour reprendre l'expression qu'elle avait employée. La demande d'accompagnement en provenance des entreprises est toujours aussi forte, surtout au sein des plus petites. Les besoins des citoyens ont crû en même temps que les plaintes qu'ils déposent. Leur nombre a augmenté de 30% entre 2017 et 2018. La hausse est également de 30% pour le début de cette année. Les effectifs de la Cnil vont passer de 200 à 215, mais cela reste bien en deçà de nos besoins, surtout si la France veut être au rendez-vous de la diplomatie des données et peser dans la coopération européenne.
Le RGPD à peine digéré, vous allez devoir vous attaquer à un autre sujet très sensible pour le marché de la publicité : le traitement des cookies sur le Web. Quelle est votre feuille de route ?
"Nous allons clarifier les règles quant à l'usage des cookies."
Pour des raisons évidentes d'articulation avec le RGPD, nous souhaiterions que le règlement eprivacy, qui formalise ce sujet des cookies, arrive plus vite que prévu. Malheureusement, ce ne sera sans doute pas pour 2019. Comme il y a urgence, nous allons clarifier les règles quant à l'usage des cookies. Ces règles datent de 2013, époque où le RGPD, qui instaure la notion de consentement libre, univoque et éclairé, n'existait pas. A nous, donc, de mettre eprivacy à l'heure du RGPD. Nous allons travailler avec les associations interprofessionnelles pour définir les conditions d'application du RGPD au sein des interfaces utilisateurs sur le Web d'ici la fin de l'année.