En pratique les TPE/PME ne respectent déjà pas le RGPD et la CNIL a une approche pro-business en sanctionnant très peu et favorise l’accompagnement général avec un nombre considérable de documents de vulgarisation ou des recommandations à la portée de la plupart des professionnels non-juristes concernés par son application
Il faut aussi rappeler que le délégué à la protection des données n’est pas obligatoire et complément superflu pour la majorité des TPE/PME et le registre de traitement tel qu’il doit être pouvoir communiqué en cas de contrôle ne comporte que des exigences rudimentaires dans son contenu de sorte qu’il est facile d’en réaliser un soit très standard ou bien d’en produire un rempli d’imprécisions ou d'omissions sur des points de non conformité cruciaux qui le vident aisément de sa substance. Ça fait déjà plusieurs années que ce n’est plus une difficulté.
Les AIPD sont cruciales en théorie pour le respect des droits et libertés fondamentaux des citoyens en ce qu’ils ne concernent que des traitements de données qui peuvent avoir des conséquences négatives graves sur celles-ci. Ce n’est pas un exercice juridique poussé, c’est un standard d’analyse et de prévention des risques pratique qui doit être réalisé essentiellement par l’équipe métier qui conçoit et qui réalise le traitement
Dans la plupart des TPE/PME le seul impact significatif c’est qu’ils se retrouvent souvent obligés de respecter les droits consacrés par le RGPD en termes d’accès, de rectification et de suppression et surtout l’opposition pour tout ce qui est démarchage
Pour résumer, le RGPD ne s’applique déjà que très peu dans les TPE/PME et sans aucun impact négatif sauf pour ceux qui effectueraient du démarchage et ceux qui gèrent mal leurs contentieux avec d’anciens salariés et qui se retrouvent contraints de communiquer des documents en raison du droit d’accès. Les AIPD ne sont pas complexes et ne sont pas que de la « paperasse ». Personne n’est dupe sur l’intention derrière cette initiative qui consiste à mettre le pied dans la porte pour détricoter en la faveur des lobbyistes et de leurs clients un texte qui sert avant tout d’instrument de pression contre les géants du numérique
C’est très réducteur. Oui, Guillaume Champeau et Aeris ont un intérêt à voir un renforcement de l’action répressive de la CNIL, cependant ça ne vide pas de substance le propos.
La CNIL sanctionne très peu et se montre particulièrement clémente avec le secteur public en comparaison avec d’autres autorités ayant la même compétence qu’elle dans d’autres pays de l’UE.
Les autorités de protection des données nationales ont toutes des politiques différentes et cela change selon le mandat. En l’occurence la volonté de plus accompagner que de réprimer est assumée, du moins dans les grandes lignes par la présidente de la CNIL.
Mais derrière les déclarations on peut légitimement douter de la sincérité de ses décideurs, comme tel fut le cas durant le mandat d’Alex Türk entre 2004 et 2011 qui a pris un nombre de décisions fortement discutables pour la protection de la vie privée tout en prétendant le contraire. Ce n’est pas non plus propre à la France, l’autorité irlandaise est connue pour être une succursale des GAFAM et s’est illustrée par de nombreuses manoeuvres d’obstruction visant à décourager les personnes déposant des plaintes contre les géants du numérique américains.
Ce parti pris de la présidente actuelle même s’il s’avérait être transparent et de bonne foi resterait aussi critiquable : l’accompagnement tel que proposé par la CNIL fonctionne-il vraiment ? Ont-ils vraiment les moyens d’accompagner toutes les associations et entreprises de France en ayant besoin ? Honnêtement probablement pas au vu des violations de données massives de Pôle Emploi ou des complémentaires de santé qui sont arrivées ces derniers mois .
Il faut lire l’article, le RGPD concerne toute l’union européenne mais l’autorité en charge de vérifier et sanctionner le respect du RGPD est celle du siège social de l’entreprise dans l’UE. Les droits et libertés fondamentales des français sont maltraités par les Irlandais en connivence avec les États-Unis, et le droit de l’UE empêche justement à la France de faire le travail que ne fait pas l’autorité Irlandaise
On ne parle pas de la Norvège et d’Andorre parce qu’ils ne font pas partie de l’Union Européenne
“À long terme, il n’imagine qu’une alternative : soit les États-Unis revoient les garanties offertes aux personnes, soit les fournisseurs de services américains devront héberger les données étrangères en dehors du territoire américain”
Je ne suis pas sûr de bien suivre Max Schrems ici: à moins que je ne me trompe, l’hébergement en dehors du territoire américain ne change rien à la faculté du gouvernement des Etats-Unis à accéder aux données en vertu du CLOUD Act de 2018. Tout ce qui compte c’est que l’entreprise soit américaine.
Les deux solutions sont plutôt de céder l’exploitation de technologies des GAFAM à des entreprises européennes, pour le marché européen. Ou parvenir à un nouvel accord d’adéquation, non ? Quelqu’un pourrait-il m’éclairer ?
4 commentaires
RGPD : l’épineux sujet de la simplification
13/05/2025
Le 13/05/2025 à 11h 12
En pratique les TPE/PME ne respectent déjà pas le RGPD et la CNIL a une approche pro-business en sanctionnant très peu et favorise l’accompagnement général avec un nombre considérable de documents de vulgarisation ou des recommandations à la portée de la plupart des professionnels non-juristes concernés par son applicationIl faut aussi rappeler que le délégué à la protection des données n’est pas obligatoire et complément superflu pour la majorité des TPE/PME et le registre de traitement tel qu’il doit être pouvoir communiqué en cas de contrôle ne comporte que des exigences rudimentaires dans son contenu de sorte qu’il est facile d’en réaliser un soit très standard ou bien d’en produire un rempli d’imprécisions ou d'omissions sur des points de non conformité cruciaux qui le vident aisément de sa substance. Ça fait déjà plusieurs années que ce n’est plus une difficulté.
Les AIPD sont cruciales en théorie pour le respect des droits et libertés fondamentaux des citoyens en ce qu’ils ne concernent que des traitements de données qui peuvent avoir des conséquences négatives graves sur celles-ci. Ce n’est pas un exercice juridique poussé, c’est un standard d’analyse et de prévention des risques pratique qui doit être réalisé essentiellement par l’équipe métier qui conçoit et qui réalise le traitement
Dans la plupart des TPE/PME le seul impact significatif c’est qu’ils se retrouvent souvent obligés de respecter les droits consacrés par le RGPD en termes d’accès, de rectification et de suppression et surtout l’opposition pour tout ce qui est démarchage
Pour résumer, le RGPD ne s’applique déjà que très peu dans les TPE/PME et sans aucun impact négatif sauf pour ceux qui effectueraient du démarchage et ceux qui gèrent mal leurs contentieux avec d’anciens salariés et qui se retrouvent contraints de communiquer des documents en raison du droit d’accès. Les AIPD ne sont pas complexes et ne sont pas que de la « paperasse ». Personne n’est dupe sur l’intention derrière cette initiative qui consiste à mettre le pied dans la porte pour détricoter en la faveur des lobbyistes et de leurs clients un texte qui sert avant tout d’instrument de pression contre les géants du numérique
CNIL : lettre ouverte contre ses sanctions « désespérément faibles sinon inexistantes »
04/09/2024
Le 04/09/2024 à 16h 56
C’est très réducteur. Oui, Guillaume Champeau et Aeris ont un intérêt à voir un renforcement de l’action répressive de la CNIL, cependant ça ne vide pas de substance le propos.La CNIL sanctionne très peu et se montre particulièrement clémente avec le secteur public en comparaison avec d’autres autorités ayant la même compétence qu’elle dans d’autres pays de l’UE.
Les autorités de protection des données nationales ont toutes des politiques différentes et cela change selon le mandat. En l’occurence la volonté de plus accompagner que de réprimer est assumée, du moins dans les grandes lignes par la présidente de la CNIL.
Mais derrière les déclarations on peut légitimement douter de la sincérité de ses décideurs, comme tel fut le cas durant le mandat d’Alex Türk entre 2004 et 2011 qui a pris un nombre de décisions fortement discutables pour la protection de la vie privée tout en prétendant le contraire. Ce n’est pas non plus propre à la France, l’autorité irlandaise est connue pour être une succursale des GAFAM et s’est illustrée par de nombreuses manoeuvres d’obstruction visant à décourager les personnes déposant des plaintes contre les géants du numérique américains.
Ce parti pris de la présidente actuelle même s’il s’avérait être transparent et de bonne foi resterait aussi critiquable : l’accompagnement tel que proposé par la CNIL fonctionne-il vraiment ? Ont-ils vraiment les moyens d’accompagner toutes les associations et entreprises de France en ayant besoin ? Honnêtement probablement pas au vu des violations de données massives de Pôle Emploi ou des complémentaires de santé qui sont arrivées ces derniers mois .
La CNIL irlandaise écope d’un « Big Brother Awards »
02/05/2022
Le 03/05/2022 à 18h 36
Il faut lire l’article, le RGPD concerne toute l’union européenne mais l’autorité en charge de vérifier et sanctionner le respect du RGPD est celle du siège social de l’entreprise dans l’UE. Les droits et libertés fondamentales des français sont maltraités par les Irlandais en connivence avec les États-Unis, et le droit de l’UE empêche justement à la France de faire le travail que ne fait pas l’autorité Irlandaise
On ne parle pas de la Norvège et d’Andorre parce qu’ils ne font pas partie de l’Union Européenne
Google Analytics : retour sur la mise en demeure de la CNIL
22/02/2022
Le 22/02/2022 à 17h 31
“À long terme, il n’imagine qu’une alternative : soit les États-Unis revoient les garanties offertes aux personnes, soit les fournisseurs de services américains devront héberger les données étrangères en dehors du territoire américain”
Je ne suis pas sûr de bien suivre Max Schrems ici: à moins que je ne me trompe, l’hébergement en dehors du territoire américain ne change rien à la faculté du gouvernement des Etats-Unis à accéder aux données en vertu du CLOUD Act de 2018. Tout ce qui compte c’est que l’entreprise soit américaine.
Les deux solutions sont plutôt de céder l’exploitation de technologies des GAFAM à des entreprises européennes, pour le marché européen. Ou parvenir à un nouvel accord d’adéquation, non ? Quelqu’un pourrait-il m’éclairer ?