Le premier bilan de l’entrée en application de ce règlement ressemble au titre du huitième roman d’Amélie Nothomb, publié en 1999, « Stupeur et Tremblements ». Mais des tremblements, il n’y en a pas eu en réalité, plutôt des frémissements. Peu d’entreprises peuvent affirmer être en conformité alors que ce texte a été validé en avril 2016. Beaucoup commencent tout juste à s’y mettre ou, pire, ne font toujours rien.
« Nous restons en France dans une logique de « pas vu, pas pris » et on attend de voir comment la CNIL va réagir », constate dans IT Social Maître Anne-Sophie POGGI, Avocate à la Cour spécialisée en droit de la donnée.
Si les grands comptes et des entreprises présentes dans des secteurs d’activité très règlementés ont depuis longtemps pris les devants en adoptant des bonnes pratiques et procédures, c’est loin d’être le cas pour les PME/PMI.
Il suffit pour s’en rendre compte d’assister à des tables rondes organisées par des instances professionnelles ou des CCI pour constater que beaucoup de professionnels ne comprennent pas le principal enjeu du RGPD : la sécurité des données au sens large du terme (ce qui englobe notamment leur confidentialité et donc le déploiement en particulier du chiffrement).
Politique de l’autruche
En se focalisant principalement sur les sanctions et une lecture « juridique » du texte, de nombreuses entreprises se sont dit qu’elles ne risquaient rien, la CNIL se concentrant sur les grands groupes et les GAFAM (Google, Amazon, Facebook, Apple et Microsoft) pour montrer l’exemple.
Et l’actualité des sanctions leur a donné raison. En janvier dernier, la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de Google.
Mais cette politique de l’autruche ou ce « retard à l’allumage » n’est certainement pas la bonne méthode. Pour deux raisons principales. Premièrement, les plaintes déposées auprès de la CNIL ont fortement augmenté (plus de 11 000 l’année dernière). Il y en a eu plus de 145 000 dans l’UE !
Deuxièmement, la CNIL va se montrer plus sévère. Dans un entretien accordé à La Tribune, la nouvelle présidente de la Commission nationale de l'informatique et des libertés (CNIL), Marie-Laure Denis a déclaré qu’il faut « désormais, faire preuve de davantage de fermeté. Notre action de régulation ne sera efficace que si nous actionnons à parts égales les deux leviers à notre disposition, c'est-à-dire la pédagogie d'un côté, et le contrôle avec éventuellement des sanctions de l'autre ».
Attention aux CNIL européennes
Mais les entreprises ont tort de croire que les sanctions ne peuvent venir que de la CNIL francaise. Premièrement, l’équivalent italien ou allemand pourrait demander des comptes à une entreprise française si elle a reçu des plaintes de citoyens italiens ou allemands.
Le RGPD est en effet un règlement européen qui protège tous les citoyens de l’UE ! Deuxièmement, un donneur d’ordre français (ou, là aussi, européen) d’un sous-traitant hexagonal pourrait aussi exiger que celui-ci prouve sa conformité sous peine de perdre ce contrat…
Le RGPD instaure en effet une coresponsabilité entre les entreprises et leurs partenaires. Une entreprise peut donc mandater un cabinet spécialisé pour réaliser des audits afin de vérifier que les données personnelles qu’elle leur confie sont bien protégées...
Les entreprises sont loin d’en avoir fini avec le RGPD…