RGPD : application immédiate au 25 mai 2018
Le Règlement Général sur la Protection des données entrera en application dès le 25 mai 2018.
Comme c’est un règlement, il n’a pas besoin d’être transposé par une loi nationale pour être applicable : même si les travaux de modification de la Loi Informatique et Libertés de 1978 (dite “Loi CNIL”) n’aboutissent qu’après le 25 mai, le règlement, lui, sera applicable directement à cette date.
Bon nombre des dispositions du RGPD existaient déjà dans la Loi CNIL. Certaines sont renforcées et quelques nouvelles dispositions voient le jour (le droit des personnes à la portabilité de leurs données par exemple).
Le RGPD étant applicable dès le 25 mai, tous les organismes traitant de données à caractère personnel devraient s’y être conformé pour cette date mais ce n’est qu’une utopie.
La réalité est qu’à l’approche de mai, les entreprises se réveillent, se pressent, et parfois sont prises pour cibles : des clients effrayés par l’idée d’une sanction et pressés par le temps paierait cher pour s’entendre dire qu’ils seront conformes en un temps record.
Alors que diverses études nous bombardent de leurs statistiques ; 1 entreprise française sur 5 ne sera pas conforme au RGPD, 70 % des entreprises non-conformes, etc. ; une question se pose : et alors ?
Une application immédiate, oui, mais pas stricte !
Le RGPD sera en effet d’application immédiate dès le 25 mai pour toutes les entreprises situées sur le sol européen ou traitant de données de citoyens européens mais cela ne veut pas dire pour autant que la CNIL sanctionnera à tour de bras dès le début.
Répondant à des questions du journal “Les Echos” le 18 février 2018, Isabelle Falque-Pierrotin, Présidente de la CNIL, expliquait ainsi que “la CNIL fera preuve de souplesse et de pragmatisme” ou encore que le 25 mai “ne sera pas une date couperet annonciatrice d’une pluie de sanctions”.
N’oublions pas que la CNIL a été créée en 1978 dans un certain contexte. Dès le début de son existence, son but n’était pas de sanctionner les organismes, mais de protéger les personnes concernées par les données personnelles par un arsenal de mesures juridiques, et bien sûr de sanctions.
Cet esprit de la CNIL, 40 après, n’a toujours pas disparu : le but est de protéger les citoyens, les personnes dont les données à caractère personnel sont récupérées, pas de sanctionner simplement.
Et c’est encore sur son site que la CNIL le démontre le mieux.
Ainsi, le site de la CNIL lui-même nous informe de la vision de la CNIL pour les prochains mois : l’accompagnement à la conformité.
Ne pas être en conformité par rapport aux dispositions de la loi de 1978 serait gênant, 40 ans pour être conforme c’est bien assez, et la CNIL ne sera pas moins intransigeante là-dessus qu’elle ne l’a été jusqu’à maintenant.
Mais en ce qui concerne le RGPD, la CNIL sait très bien que toutes les entreprises n’auront pas terminé leur process de mise en conformité et aura donc une appréciation de l’avancement dans la mise en conformité et de la motivation dans ce processus.
L’accompagnement est le mot clé : toute entreprise qui, certes ne sera pas conforme, mais qui fera preuve de coopération et d’une volonté de se mettre en conformité pourra être accompagnée dans sa démarche par la CNIL.
Cette vision, la CNIL semble vouloir l’appliquer pendant quelques mois et si le temps exact n’est pas connu, cela en laisse un peu pour commencer sa mise en conformité.
En savoir plus :
Site officiel de la CNIL