« Le 25 mai ne sera pas une date couperet annonciatrice d'une pluie de sanctions », a affirmé Isabelle Falque-Pierrotin, la présidente de la CNIL, dans un entretien publié par Les Echos.
A partir du 25 mai, le règlement européen sur la protection des données personnelles (RGPD/GDPR) s’appliquera à toutes les entreprises qui exercent une activité dans l’Union européenne. L’Etat français sera prêt à cette date, ce qui est une évidence, l’UE ayant déjà tranché sur ce point.
Concernant l’adaptation du texte communautaire au Droit français, le gouvernement a choisi d’enclencher une procédure accélérée. En réalité, nous sommes en retard, de nombreux pays de l’UE ont déjà franchi cette étape, nous ne le ferons qu’un petit mois avant la date butoir !
Les députés ont voté la loi à une très large majorité, les sénateurs suivront en mars. Ceux qui espéraient un retard législatif seront déçus, la date du 25 mai ne changera pas.
La CNIL se veut bienveillante...
La CNIL, Commission nationale de l'informatique et des libertés, sera en charge du contrôle de l’application du RGPD. Des membres de la Commission nous ont confirmé que la CNIL a recruté ces derniers mois pour accompagner la mise en place du Règlement.
Evidemment, le doute persiste sur leur rôle, conseillers ou gendarmes ? A terme, c’est le gendarme qui dominera dans la mission, mais Isabelle Falque-Pierrotin, la présidente de la CNIL (photo en entête), s’est voulue rassurante :
« Le 25 mai ne sera pas une date couperet annonciatrice d'une pluie de sanctions. (…) Notre but ne sera pas de sanctionner immédiatement des manquements à des obligations nouvelles liées au RGPD. Cela durera certainement le temps de l'année 2018. Après, on verra... »
La présidente a également reconnu que la mise en conformité s’est révélée « lourde et exigeante », en particulier pour les PME. C’est pour cela que beaucoup d’entreprises ne seront pas prêtes, et les équipes de la CNIL joueront auprès d’elles un rôle d’accompagnement. Probablement jusqu’à la fin de l’année 2018.
Enfin, sur des principes nouveaux comme « le droit à la portabilité des données d'un service à un autre, les délégués à la protection des données ou le registre de traitement, nous adopterons une posture d'accompagnement ». Il n’est pas sûr que ces bonnes paroles rassurent...