Eco
La mansuétude de la Cnil sur le RGPD
Par Jacques Cheminat, publié le 19 février 2018
La présidente de la Cnil a assuré que le régulateur serait bienveillant sur la date butoir du 25 mai 2018 pour se mettre en conformité avec le RGPD.
Isabelle Falque-Pierrotin a donné un entretien aux Echos où elle indique « le 25 mai ne sera pas une date couperet annonciatrice d’une pluie de sanctions ». Cette date est celle fixée par le règlement européen sur la protection des données, autrement appelé RGPD. Il fixe un ensemble de règles pour que les entreprises protègent efficacement les données personnelles. Parmi ces contraintes, il y a l’obligation d’assurer la portabilité des données, la prise en compte de la sécurité dès la création des applications (security by design), la tenue d’un registre des traitements des données, la notification des failles de sécurité, etc.
Un accompagnement et pas de sanctions jusqu’à fin 2018
Des exigences « lourdes et exigeantes » reconnait la présidente de la Cnil tout en sachant, « qu’un certain nombre d’entreprises ne seront pas prêtes ».C’est notamment le cas pour les petites et moyennes entreprises. Pour elles, la Cnil s’inscrit dans une démarche d’accompagnement, qui se fera « pendant plusieurs mois », explique Isabelle Falque-Pierrotin. Dans ce cadre, un guide co-édité avec la BPI (Banque publique d’investissement) va être mis à disposition pour les PME-PMI qui ne peuvent pas « se payer un consultant ».
La bienveillance sera aussi effective sur les sanctions, « notre but ne sera pas de sanctionnerimmédiatement des manquements à des obligations nouvelles liées au RGPD. Cela durera certainement le temps de l’année 2018. Après, on verra ». La présidente de la Cnil laisse donc un laps de temps supplémentaire pour se conformer aux exigences du RGPD, tout en fixant la fin de l’attitude souple à la fin 2018. Pour mémoire, les amendes peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires de la société condamnée.
Un projet de loi à finaliser
Dans le même temps, le Parlement finalise la discussion et le vote d’une loi sur la protection des données personnelles. Le RGPD ne nécessite pas de transposition en droit national, mais la France en a profité pour toiletter la loi Informatique et libertés. Actuellement, le projet de loi est en discussion au Sénat, après un premier vote à l’Assemblée Nationale. Parmi les mesures intégrées, on note la majorité numérique fixée à 15 ans, l’élargissement des actions de groupe, le renforcement du rôle de la Cnil, etc.
Ce chambardement législatif n’incite pas franchement les entreprises à se bouger. A moins de 100 jours de la date butoir du 25 mai, très peu d’entreprises peuvent se vanter d’être totalement conformes au RGPD. Certaines ont commencé à travailler dessus notamment sur les contrats avec les tiers, fournisseurs, partenaires pour éviter les problèmes de responsabilité en cas de vol de données. Les éditeurs sont par contre depuis plusieurs mois dans les starting-block pour proposer des services d’accompagnement à la mise en conformité au RGPD.