Quatre mois après l’entrée en vigueur du règlement général sur la protection des données (RGPD), la Commission nationale de l’informatique et des libertés (Cnil) vient de dresser un premier bilan quantitatif qui fait apparaître une meilleure prise en compte par les particuliers et par les entreprises des problématiques du traitement des données à caractère personnel. Ainsi, comparé à la même période de 2017, le nombre de plaintes déposées par des particuliers auprès de la Cnil a augmenté de 64 % (de 2 294 à 3 767). La Commission constate, en outre, une hausse de 45 % des appels téléphoniques et de 83 % des consultations des FAQ de son site, notamment portée par les professionnels désireux de mieux appréhender la nouvelle réglementation. Des professionnels qui, depuis mai 2018, ont massivement téléchargé le modèle de registre simplifié proposé par la Cnil (150 000 téléchargements).

13 000 DPO

Pour répondre aux nouvelles contraintes posées par le règlement européen, plus de 24 500 organismes publics ou privés ont désigné un délégué à la protection des données. À titre de comparaison, la Cnil rappelle qu’avant l’entrée en vigueur du RGPD, seuls 5 000 correspondants informatique et libertés (les CIL, ancêtres des DPO) avaient été désignés au sein des entreprises, des associations ou des administrations.

Pour mémoire, seules les entreprises réalisant régulièrement des traitements de données personnelles à grande échelle (un établissement de soins tenant un fichier de patients, une entreprise en charge d’assurer la sécurité de lieux accueillant du public gérant des fichiers d’entrée-sortie, des vidéos…) ou traitant des données sensibles dans le cadre de leur activité de base (opinions politiques, religieuses, données biométriques, condamnations…) sont tenues de désigner un DPO.

Pour autant, même si elles n’en ont pas l’obligation, les entreprises qui gèrent d’importants fichiers à caractère nominatif, comme, par exemple, celles qui font du e-commerce, peuvent avoir intérêt à désigner un DPO. Interne ou externe à l’entreprise, ce dernier doit, bien entendu, disposer de compétences juridiques spécialisées, connaître les métiers et le fonctionnement de l’entreprise, mais aussi disposer des moyens d’effectuer ces missions (temps et moyens matériels suffisants, capacité d’agir en toute indépendance).

Pour rappel, le DPO est là pour conseiller le chef d’entreprise sur ses obligations légales en matière de protection des données, contrôler le respect de la réglementation, mais aussi coopérer avec l’autorité de contrôle, à savoir la Cnil.