RGPD : La CNIL assure que « le couperet ne tombera pas après le 25 mai »

C’est le grand jour. Ce 25 mai 2018 marque la date officielle de l’application du Règlement Général de Protection des Données. Depuis 2016, les entreprises européennes ou ayant des actions sur les territoires européens ont été invitées à se conformer aux règles du RGPD concernant la sécurisation des diverses données qu’elles récoltent. Source d’inquiétude et de stress pour de nombreux dirigeants, les acteurs du RGPD et les autorités de contrôle se veulent rassurants sur la mise en place de ce nouveau règlement. Thomas Dautieu, agent à la CNIL, nous explique comment ces institutions veilleront au respect du RGPD.

« Nous savons que tout le monde ne sera pas prêt »

Contrairement à ce que l’on pourrait penser, les autorités spécialisées dans le numérique comme la CNIL ne sont pas en train de monter à l’échafaud une hache à la main pour exécuter leur sentence auprès des entreprises retardataires. « Concernant la date du 25 mai, la CNIL a toujours considéré qu’il ne s’agissait pas d’une date couperet, assure Thomas Dautieu. Il n’y a pas un avant et un après 25 mai qui serait une sorte de date fatidique. » La CNIL aura en effet une approche pragmatique de la mise en conformité du règlement.

Thomas Dautieu explique notamment que la commission fera une distinction entre d’un côté les obligations anciennes sur les données personnelles, mises en législation depuis 1978, et qui donc sont censées être en vigueur depuis 40 dans toutes les entreprises, et de l’autre côté toutes les nouvelles obligations issues du RGPD, notamment la documentation ou l’exercice des nouveaux droits etc. « La CNIL assure qu’elle ne sera pas intransigeante après le 25 mai, l’essentiel est que les entreprises soient dans une démarche de mise en conformité par rapport au règlement. »

Si une entreprise est saisie de contrôle ou fait l’objet de plainte, elle devra être en mesure de démontrer qu’elle est bien dans une dynamique de conformité. « Nous sommes conscients que dans les quelques temps qui suivront cette date du 25 mai, nous serons encore dans une courbe d’apprentissage et que tout le monde ne sera pas prêt. »

Des contrôles à l’échelle européenne

Dans le cas très particulier de la mise en place du RGPD, le règlement change également la politique de contrôle de la CNIL. La dimension européenne du règlement permet ainsi aux institutions homologues dans les autres pays européen à demander à la CNIL d’effectuer des contrôles sur une entreprise européenne sur le territoire français. « La coopération européenne va plus ou moins influer sur nos politiques de contrôle concernant le RGPD, mais sur le fond il n’y a pas de raison que cela change ».

Pour rappel, les sanctions concernant le non-respect des règles du RGPD se veulent très dissuasives : 20 millions d’euros d’amende ou, pour le secteur privé, 4% du chiffre d’affaires mondial. Pour Thomas Dautieu, ces sanctions sont un outil de crédibilisation de la CNIL. « Il faut savoir que pour certaines autorités européennes, le pouvoir de sanction est complètement nouveau. Concernant la CNIL on observe une gradation de la sanction par rapport à celle de la loi Informatique et Libertés. »

La loi informatique et libertés prévoit en effet des sanctions administratives plus « souples » par rapport à celle du RGPD. Pour certaines entreprises générant un chiffre d’affaires colossal, l’amende maximale de 150 000 € et 300 000 € en cas de récidive n’avait pas vraiment de poids dans la balance.

« Il n’y aura pas de Big Bang au 25 mai »

Même si le montant des sanctions du RGPD peut paraître affolant pour les entreprises les plus modestes, Thomas Dautieu préconise la « dédramatisation » de l’arrivée du règlement. Les obligations entre les entreprises ne sont effectivement pas les mêmes en fonction du volume des données traitées. « L’entreprise qui a juste un fichier client, un fichier fournisseur ou RH parce qu’elle vend des meubles, des prestations de nettoyages etc. n’aura pas besoin de franchir de grandes étapes pour être conforme. Pour peu que l’on soit déjà conforme à la loi Informatique et Libertés, la transition sera très rapide », assure l’agent de la CNIL. Il ajoute : « On essaye de faire dégonfler cette bulle de stress qui monte avec des outils pédagogiques. »

Thomas Dautieu précise également que l’autorité ajustera ses procédures de contrôles et de sanctions en fonction de la taille de entreprises. « On ne va pas sanctionner une petite entreprise qui, par inadvertance, n’aurait pas mis en œuvre de registre ou n’aurait pas nommé de DPO de la même manière que l’on sanctionnerait un groupe international », complète Thomas Dautieu.

Pour l’agent de la CNIL, la mise en place du RGPD permettra à toutes les entreprises de savoir précisément quel type de données elle amasse et ainsi de mieux les utiliser et les protéger. « Les données deviennent le cœur de l’économie numérique et de l’économie en général. Qu’une entreprise soit incitée à mieux utiliser ses données la rendra par extension plus efficace. Cela permet aussi, en garantissant un haut niveau de protection des données, de se différencier par rapport à d’autres acteurs qui ne seraient pas européens. Des entreprises nous ont d’ailleurs déjà fait part qu’elles avaient conquis une plus grande part de marché dans leur domaine à l’étranger en faisant valoir cet argument. »