Comment expliquer que la majorité des entreprises françaises ne sera pas prête à respecter le règlement européen sur la protection des données à la date de son entrée en application ?

La CNIL s’inscrit pour encore plusieurs mois dans une démarche d’accompagnement des acteurs pour qu’ils maîtrisent le nouveau cadre juridique. Effectivement, un certain nombre d’entreprises ne seront pas prêtes le 25 mai 2018.  Depuis que le RGPD a été adopté , il y a deux ans, nous avons consenti un effort de pédagogie très important. Les fédérations professionnelles aussi. Visiblement, cela n’a pas été suffisant. Le fait que la France ne légifère que quelques mois avant l’entrée en application ne nous a pas non plus donné les moyens d’avoir très en amont une communication lisible pour les entreprises françaises. Cela dit, elles ne seront pas totalement prêtes, mais nous nous réjouissons de constater que le RGPD cristallise néanmoins un effet de rattrapage par rapport à des principes que nous connaissons en France depuis quarante ans, pour 80 % d’entre eux.

Qu’est-ce qui a changé ?

Le haut niveau de sanction a fait prendre la mesure de l’enjeu. Le RGPD  est devenu un sujet opérationnel, entré dans le quotidien des entreprises. Auparavant, ce n’était qu’une question juridique. Cela dit, le 25 mai ne sera pas une date couperet annonciatrice d’une pluie de sanctions. Nous continuerons d’accompagner les entreprises, même celles qui n’en seront qu’au début du chemin si elles ont un plan d’actions établi.

Comment accompagner tout en contrôlant ?

Nous allons faire preuve de souplesse et de pragmatisme. Nous allons ainsi donner environ trois ans aux entreprises pour apprivoiser  le nouvel outil des études d’impact . Il s’agit d’une démarche lourde et exigeante, en particulier pour les petites entreprises. Avec le RGPD, elles doivent remplacer le processus de déclaration préalable à la mise en oeuvre d’un traitement de données personnelles. Dans un premier temps, afin d’accompagner la transition, nous n’allons pas demander ces études d’impact pour les traitements qui sont déjà mis en oeuvre. Ils ont, en général, déjà été étudiés par la CNIL.

Les petites et moyennes entreprises ignorent parfois l’existence du RGPD. Allez-vous les accompagner spécifiquement ?

Pour les PME, ce texte est un monument législatif et  elles ne peuvent pas se payer un consultant pour le comprendre . Nous allons coéditer un guide d’accompagnement au RGPD avec la Banque publique d’investissement, qui connaît très bien ces entreprises et nous fait remonter leurs questions. Nous ciblons aussi les start-up : nous voulons qu’elles intègrent la « privacy by design », c’est-à-dire le respect des données personnelles par défaut.

Quelle sera la stratégie de la CNIL en matière de contrôle ?

Là aussi, nous allons faire preuve de pragmatisme et de souplesse. Il y a un certain nombre de principes du RGPD qui ne sont pas nouveaux. Par exemple, l’obligation de devoir préciser à quelles fins des données personnelles sont collectées, ou bien les limites relatives à la durée de conservation d’une donnée. Sur ces points, nous contrôlerons le 26 mai, comme on le faisait le 12 avril. En revanche, sur les principes ou outils nouveaux, comme le droit à la portabilité des données d’un service à un autre, les délégués à la protection des données ou le registre de traitement, nous adopterons une posture d’accompagnement. Notre but ne sera pas de sanctionner immédiatement des manquements à des obligations nouvelles liées au RGPD. Cela durera certainement le temps de l’année 2018. Après, on verra.

Quels sont les moyens de la CNIL pour mener à bien ce rôle de pédagogue et de contrôleur ?

Nos moyens sont clairement insuffisants pour faire face à la marche très importante que le RGPD impose de gravir. L’an dernier, nous avions demandé des moyens supplémentaires. Nous avons obtenu deux créations de poste. Nous sommes aujourd’hui 200 personnes à la CNIL alors que les régulateurs comparables sont beaucoup plus nombreux. En Allemagne, ils sont 700. Au Royaume-Uni, ils sont 500. Nous sommes réalistes, nous ne grandirons pas autant. Mais nous ne sommes pas au bon étiage.

Florian Dèbes