Intervention de Sophie Joissains

Le présent amendement vise à introduire plus de souplesse dans l’organisation interne des travaux de la CNIL. Son adoption permettrait à la formation plénière de la commission de déléguer au président ou au vice-président délégué certaines décisions touchant aux nouvelles obligations de notification des violations de données.

Conformément à l’article 34 du RGPD, la CNIL devra recevoir ces notifications et examiner si la violation est susceptible d’engendrer un risque élevé, afin soit d’exiger du responsable de traitement de communiquer cette violation aux personnes concernées, soit de décider que cette communication n’est pas nécessaire.

Les services de la CNIL ont mis en avant auprès de votre rapporteur les chiffres des Pays-Bas, où cette obligation de notification existe déjà en droit positif : 6 500 notifications par an, dans un pays bien plus petit que la France. Il convient d’aider la CNIL à ménager ses moyens en lui offrant cette agilité organisationnelle.