Jean Lessi (Cnil) "Le non-respect des nouveautés du RGPD ne donnera pas lieu à des sanctions les premiers mois"

Le secrétaire général de la Commission nationale de l'informatique et des libertés livre ses conseils suite à l'entrée en vigueur du RGPD.

JDN. Le Règlement européen sur la protection des données personnelles (RGPD) entre en vigueur ce vendredi 25 mai 2018. Que fait la Cnil ?

Jean Lessi, secrétaire général de la Cnil. © Cnil

Jean Lessi. Le RGPD n'est pas un couperet. C'est une journée qui marque un cap mais qui est dans la continuité. La Cnil poursuit donc le travail entrepris depuis plusieurs mois. Cependant, trois événements sont à noter.Tout d'abord, nous intervenons ce 25 mai à Station F car nous avons une stratégie de communication dédiée aux start-up. Notre présidente Isabelle Falque-Pierrotin s'exprime le même jour sur la scène de Viva Technology devant plus de 1 500 personnes. Enfin, le comité européen de la protection des données, dont la Cnil est membre, va siéger pour la première fois. C'est un nouveau réseau de régulateurs européens. Concrètement, nous pourrons désormais être saisis de dossiers transfrontaliers et appliquer des règles de procédures de coopération européenne.

La Cnil peut donc être saisie dès le 25 mai 2018 ?

Nous recevons déjà des dossiers tels que des réclamations et des plaintes, mais sur des problématiques qui existaient avant le RGPD. A partir du 25 mai, nous allons être saisis de dossiers complètement nouveaux comme par exemple les nouvelles études d'impact, les notifications de violation de données ou les projets de code de conduite. Il y a un gros point d'interrogation quant au volume de dossiers que nous allons recevoir, mais je suis certain que nous en aurons.

Allez-vous sanctionner des organisations dès le 26 mai 2018 ?

Il y a des obligations qui existaient avant le 25 mai et qui existeront toujours après, comme la sécurité des données, la proportionnalité… Tout ce qui est dans la continuité de la loi informatique et libertés actuelles ne change pas l'attitude de la Cnil. En revanche, le non-respect des nouveautés apportées par le RGPD ne donnera pas lieu à des sanctions. Nous donnons une priorité à l'accompagnement dans les premiers mois, sauf manquement grave ou mauvaise foi délibérée. Nous attendons des opérateurs qu'ils s'engagent résolument dans la conformité RGPD. Ne pas être prêt à 100% le 25 mai 2018 n'est donc pas grave pour la Cnil.

Comment allez-vous continuer à accompagner les organisations pour être conformes à ce règlement ?

Nous menons trois types d'actions. Tout d'abord, nous continuons à faire de la pédagogie du nouveau cadre juridique, c'est-à-dire faire des fiches concrètes sur les droits, publier des guides sur la sécurité ou encore l'analyse d'impact. Deuxième action : mettre des outils pratiques à disposition des organismes, notamment des TPE-PME. Nous avons récemment sorti avec Bpifrance un guide qui leur est dédié. Ces derniers jours, nous avons également mis en ligne un nouveau modèle de registre de traitements plus didactique et des modèles de mentions d'informations.

"Nous donnons une priorité à l'accompagnement, sauf manquement grave ou mauvaise foi délibérée"

Quand vous collectez des données, vous devez informer les personnes et avec le RGPD il faut les adapter. Par exemple, il y a des modèles pour l'accès aux locaux professionnels, pour la géolocalisation… Nous en ajouterons de nouveaux au fil de l'eau. Les entreprises et administrations doivent ensuite adapter ces modèles à leur situation mais au moins elles ont une base de départ. Enfin, nous allons amplifier la sensibilisation au RGPD dans les différents secteurs d'activité, via des têtes de réseau (syndicats professionnels, associations de collectivités territoriales, confédérations interprofessionnelles…). Cela nous permet de démultiplier le message et de faire remonter les interrogations de leurs adhérents.

Dans quel état d'esprit sont les PME ?

Nous recevons beaucoup de questions de sensibilisation ou de questions pointues et pratiques du type "que dois-je mettre dans mon registre ?" On ressent une méconnaissance du sujet ainsi qu'une inquiétude car les obligations semblent importantes. Il existe une forme de marketing de la peur de certains acteurs autour du RGPD. Les PME doivent se rassurer car notre priorité est pour l'instant de les accompagner dans leurs démarches. Elles ne sont pas seules, leurs réseaux professionnels et interprofessionnels sont mobilisés. Le Medef et la CPME ont également mis des outils à disposition. L'essentiel est de se lancer dans la démarche et de se poser les bonnes questions. Pour les petits acteurs en général, le RGPD n'est pas une montagne. La plupart des mesures ne les concerne pas. Il peut y avoir des obligations très compliquées avec le RGPD mais quand on fait des transferts internationaux, quand on traite des données très sensibles… 

Quelle est votre attitude vis-à-vis des grands acteurs du numérique ?

Le RGPD ne change pas l'attention que la Cnil porte à tous les acteurs et notamment les grandes entreprises. Il change en revanche la boîte à outils et le niveau d'actions en le faisant passer au niveau européen. Dans les relations avec les grands acteurs du numérique, européens ou non, le contrôleur européen de la protection des données (CEPD) peut être une crédibilité supplémentaire pour les Cnils européennes et peut aussi donner de la sécurité juridique à ces grands acteurs transnationaux. 

Quels conseils pourriez-vous donner aux entreprises qui appréhendent ce texte ?

Saisissez-vous du sujet de manière constructive. Ne voyez pas ça uniquement comme une contrainte. Bien sûr ce sont des exigences, de nouvelles contraintes comme tenir le registre des traitements. Certaines structures doivent même nommer un DPO (data protection officer, ndlr). Mais il faut aussi voir le RGPD comme l'occasion de faire un peu le ménage dans ses données, de s'interroger sur ses pratiques et de faire des progrès, qui, au-delà du droit, sont de plus en plus demandées par les consommateurs. Ceux-ci attendent que leur vie privée soit respectée. 

Autre conseil : échangez dans votre secteur d'activité. Les questions que vous vous posez sont celles que se pose votre voisin. Enfin, consultez tous les outils fournis et vous verrez que vous avez déjà une mine d'informations qui répond à beaucoup de besoins avant de demander une prestation de conseils. Enfin, posez-vous régulièrement des questions : est-ce que mes pratiques sont bonnes, est-ce que je peux les améliorer, ai-je vraiment besoin de collecter ces données ? Car le RGPD est vivant. Il ne suffit pas de s'y mettre une fois et de ne plus s'en préoccuper. Il faut être dans une optique de conformité dynamique.

Et aussi : 

 

Annonces Google