RGPD : la CNIL veut rassurer les PME, mais s’inquiète de ses moyens
Bientôt une trousse à outils à destination des PME
Le 26 janvier 2018 à 10h39
4 min
Droit
Droit
Hier en fin de journée, la CNIL a fêté ses 40 ans d’existence. À cette occasion, Isabelle Falque-Pierrotin revient dans nos colonnes sur ce futur proche : l’entrée en vigueur du Règlement général sur la protection des données. Un message de la présidente de l'autorité qui se veut rassurant à destination des entreprises.
La CNIL, née du scandale du projet SAFARI en 1974, s’apprête 40 ans plus tard à la mise à niveau de la législation européenne, suite à l’entrée en vigueur du Règlement général sur la protection des données personnelles (RGPD).
Logique de responsabilité, « privacy by design » (et donc en amont), transparence, droit à l’oubli, consentement des mineurs, notification des failles de sécurité, désignation d’un délégué à la protection des données (DPO), sanctions nettement alourdies, etc. C'est peu de le dire : le RGPD est gorgé de nouvelles règles.
Hier soir, à l’occasion d’une cérémonie dans ses locaux, la présidente Isabelle Falque-Pierrotin a (encore) voulu rassurer les entreprises face à ce grand saut en avant.
Que répondez-vous aux entreprises, dont les PME, qui s’inquiètent des contraintes nées du RGPD ?
Il y a un phénomène de rattrapage à l’occasion de ce règlement européen. Aujourd’hui, beaucoup d’entreprises réalisent qu’elles ne sont même pas conformes à la loi Informatique et Libertés de 1978. Les niveaux de sanction du RGPD font qu’elles se disent « mon dieu, il faut que je prenne de vraies mesures pour traiter de la question des données personnelles ! ».
Ce que je leur dis est qu’il n’y aura pas un couperet le 25 mai 2018. En réalité, on angle sur une stratégie d’accompagnement de ces acteurs pour faire en sorte qu’elles comprennent les nouvelles obligations, les nouveaux outils qu’elles doivent déployer.
En revanche, les principes - qui eux sont les mêmes avant et après le RGPD -, seront sanctionnés de la même manière en septembre 2018 qu’on ne le fait aujourd’hui, au mois de janvier. On a donc une stratégie d'accompagnement sur les outils et les nouveaux droits. En revanche, les principes seront appliqués dès le mois de mai.
Mais comment assurer cet accompagnement ?
Nous sommes très soucieux de la compréhension des PME et PMI. Nous sortirons en ce sens un nouveau produit, que l’on va coproduire avec la BPI, qui allie nos forces pour être suffisamment rapide.
C’est un guide, une sorte de produit clef en main, un pack de conformité RGPD simplifié à destination de ces acteurs. J’y crois beaucoup, car ils constituent un peu le maillon faible en termes de population d’entreprises, car ils n’ont pas nécessairement les conseils juridiques dont bénéficient les grands groupes.
Vous avez visiblement de l’espoir avec ce règlement…
C’est une chance historique pour l’Europe de remonter dans le train du numérique. Il faut considérer que ce nouveau cadre juridique nous donne les moyens de nous remettre à égalité de concurrence avec les acteurs internationaux.
Il offre aussi la possibilité de faire de la vie privée un argument de différenciation concurrentiel, car dans le fond, cela répond aux attentes des consommateurs européens. Je suis optimiste, car il faut faire en sorte que ce cadre fonctionne bien et qu’on s’en empare collectivement.
Et quelles sont vos craintes ?
Que nous n’ayons pas suffisamment de ressources pour faire le métier qui est le nôtre dans les années à venir. J’ai exprimé cette crainte depuis plusieurs mois.
Le RGPD pose la question de l’accompagnement, lequel nécessite des moyens qui sont en fait beaucoup plus importants que le traitement des autorisations ou des déclarations.
À la CNIL, les ressources dédiées à ces activités-là étaient très réduites, car on avait déjà anticipé la mise en œuvre du règlement. En revanche, accompagner les secteurs public et privé nécessite d’avoir des gens en interne qui comprennent les problématiques, qui soient formés et aient le temps de comprendre les stratégies. Tout cela demande des ressources.
Concrètement, à combien les chiffrez-vous ?
L’an dernier, nous avions fait une demande de création de 11 postes sur le budget 2017. Je pense qu’aujourd’hui, l’estimation serait beaucoup plus grande. Les autorités comparables à la CNIL ont en gros 600 équivalents temps plein. Nous, on est à 200.
Merci Isabelle Falque-Pierrotin.
RGPD : la CNIL veut rassurer les PME, mais s’inquiète de ses moyens
-
Que répondez-vous aux entreprises, dont les PME, qui s’inquiètent des contraintes nées du RGPD ?
-
Mais comment assurer cet accompagnement ?
-
Vous avez visiblement de l’espoir avec ce règlement…
-
Et quelles sont vos craintes ?
-
Concrètement, à combien les chiffrez-vous ?
Commentaires (10)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 26/01/2018 à 11h05
“Que nous n’ayons pas suffisamment de ressources pour faire le métier”
C’est un peu l’histoire de la CNIL, jusqu’en 2004 elle n’était que fantomatique et quasi inexistante, après la Loi de 2004 elle a pris un peu plus d’importance, mais elle reste largement inefficace face à de grands groupes internationaux qui sont des dangers véritables pour les données persos et plus largement notre vie privée.
S’il est enfin heureux que les entreprises prennent connaissance de leurs obligations en ce domaine, c’est souvent fait de façon très contestable: un discours anxiogène (qui va jusqu’au spam et fax publicitaire d’escrocs), un tableau volontairement noirci par certains prestataires qui se comportent volontairement en Cassandre pour fourguer leurs conseils et/ou leurs outils etc…
Dans ma profession y a une véritable vague de peur, du coup on organise un colloque gratuit avec différents intervenants pour expliquer que la RGPD n’a rien de révolutionnaire, qu’il faut simplement enfin répondre aux obligations posées depuis des décennies, à charge pour les pros de s’interroger sur les outils qu’ils utilisent et comment les sécuriser concrètement. (et ça gonfle les vautours que je citais plus haut… rien que ça c’est plaisant ^^ ).
La CNIL doit reprendre la main dans la communication sur ce sujet, à défaut la crispation naissante sur la RGPD mettra le texte en échec, ceci à la faveur d’un politique qui voudra rassurer à bon compte les entreprises.
Le 26/01/2018 à 11h20
Y a bien un service que je soutiendrai c’est bien la CNIL et voir d’autres services non prioritaires set surpayés avoir des fonds indécents m’énerve grandement…
Le 26/01/2018 à 11h22
“Nous sommes très soucieux de la compréhension des PME et PMI. Nous
sortirons en ce sens un nouveau produit, que l’on va coproduire avec la
BPI, qui allie nos forces pour être suffisamment rapide.
C’est un guide, une sorte de produit clef en main, un pack de
conformité RPGD simplifié à destination de ces acteurs. J’y crois
beaucoup, car ils constituent un peu le maillon faible en termes de
population d’entreprises, car ils n’ont pas nécessairement les conseils
juridiques dont bénéficient les grands groupes.”
Je l’attends impatiemment.
Le 26/01/2018 à 11h24
Le 26/01/2018 à 11h48
Le 26/01/2018 à 16h40
Le 27/01/2018 à 16h59
Assez d’accord avec toi, bien qu’un peu plus nuancé.
Je trouve cependant que si fondamentalement la GDPR n’est pas révolutionnaire, il y a quand même passablement de petites choses qui mises ensemble font qu’on va vraiment faire un pas en avant en terme de protection des données et des obligations qui vont avec. Le côté peur vient du fait que pour beaucoup, la question “protection des données” a été réglée il y a très longtemps, et le passage au règlement fait se poser des questions qu’on avait cessé de se poser.
D’ailleurs, bosser avec les entreprises qui traitement les données est au coeur de ce que le législateur veut faire avec la GDPR: on fait relativement confiance au responsable pour qu’il prenne les mesures qui lui assureront d’être compliant.
En gros, ce règlement n’a rien d’insurmontable et prévoit des outils plutôt pratiques pour les responsables du traitement. Par contre, il faut aussi admettre qu’ il y a une part d’inconnu plus important que d’habitude dans la mise en oeuvre du règlement.
Il y a aussi un vrai risque (plus d’obligations et des sanctions potentiellement plus graves) pour les responsables du traitement qui n’étaient déjà pas en conformité avec la législation précédente, et ils sont relativement nombreux.
Le 29/01/2018 à 13h13
Et là, je me demande si je suis en conformité ou pas et j’attends avec impatience ce guide vu que je n’ai pas forcément tout bien suivi.
Le 29/01/2018 à 13h21
Dans le livre Numérique, reprendre le contrôle de Nina Cercy et Tristan Nitot, Isabelle Falque-Perrotin explique qu’en Irlande, par exemple, il n’y a qu’une personne pour faire le travail. Même ramené à la taille de la population, nettement plus petite que celle de la France, cela ne fait pas beaucoup.
Le 29/01/2018 à 13h39
Très bonne lecture " /> (je l’ai lu il y a 2 mois)