Hier en fin de journée, la CNIL a fêté ses 40 ans d’existence. À cette occasion, Isabelle Falque-Pierrotin revient dans nos colonnes sur ce futur proche : l’entrée en vigueur du Règlement général sur la protection des données. Un message de la présidente de l'autorité qui se veut rassurant à destination des entreprises.
La CNIL, née du scandale du projet SAFARI en 1974, s’apprête 40 ans plus tard à la mise à niveau de la législation européenne, suite à l’entrée en vigueur du Règlement général sur la protection des données personnelles (RGPD).
Logique de responsabilité, « privacy by design » (et donc en amont), transparence, droit à l’oubli, consentement des mineurs, notification des failles de sécurité, désignation d’un délégué à la protection des données (DPO), sanctions nettement alourdies, etc. C'est peu de le dire : le RGPD est gorgé de nouvelles règles.
Hier soir, à l’occasion d’une cérémonie dans ses locaux, la présidente Isabelle Falque-Pierrotin a (encore) voulu rassurer les entreprises face à ce grand saut en avant.
Que répondez-vous aux entreprises, dont les PME, qui s’inquiètent des contraintes nées du RGPD ?
Il y a un phénomène de rattrapage à l’occasion de ce règlement européen. Aujourd’hui, beaucoup d’entreprises réalisent qu’elles ne sont même pas conformes à la loi Informatique et Libertés de 1978. Les niveaux de sanction du RGPD font qu’elles se disent « mon dieu, il faut que je prenne de vraies mesures pour traiter de la question des données personnelles ! ».
Ce que je leur dis est qu’il n’y aura pas un couperet le 25 mai 2018. En réalité, on angle sur une stratégie d’accompagnement de ces acteurs pour faire en sorte qu’elles comprennent les nouvelles obligations, les nouveaux outils qu’elles doivent déployer.
En revanche, les principes - qui eux sont les mêmes avant et après le RGPD -, seront sanctionnés de la même manière en septembre 2018 qu’on ne le fait aujourd’hui, au mois de janvier. On a donc une stratégie d'accompagnement sur les outils et les nouveaux droits. En revanche, les principes seront appliqués dès le mois de mai.
Mais comment assurer cet accompagnement ?
Nous sommes très soucieux de la compréhension des PME et PMI. Nous sortirons en ce sens un nouveau produit, que l’on va coproduire avec la BPI, qui allie nos forces pour être suffisamment rapide.
C’est un guide, une sorte de produit clef en main, un pack de conformité RGPD simplifié à destination de ces acteurs. J’y crois beaucoup, car ils constituent un peu le maillon faible en termes de population d’entreprises, car ils n’ont pas nécessairement les conseils juridiques dont bénéficient les grands groupes.
Vous avez visiblement de l’espoir avec ce règlement…
C’est une chance historique pour l’Europe de remonter dans le train du numérique. Il faut considérer que ce nouveau cadre juridique nous donne les moyens de nous remettre à égalité de concurrence avec les acteurs internationaux.
Il offre aussi la possibilité de faire de la vie privée un argument de différenciation concurrentiel, car dans le fond, cela répond aux attentes des consommateurs européens. Je suis optimiste, car il faut faire en sorte que ce cadre fonctionne bien et qu’on s’en empare collectivement.
Et quelles sont vos craintes ?
Que nous n’ayons pas suffisamment de ressources pour faire le métier qui est le nôtre dans les années à venir. J’ai exprimé cette crainte depuis plusieurs mois.
Le RGPD pose la question de l’accompagnement, lequel nécessite des moyens qui sont en fait beaucoup plus importants que le traitement des autorisations ou des déclarations.
À la CNIL, les ressources dédiées à ces activités-là étaient très réduites, car on avait déjà anticipé la mise en œuvre du règlement. En revanche, accompagner les secteurs public et privé nécessite d’avoir des gens en interne qui comprennent les problématiques, qui soient formés et aient le temps de comprendre les stratégies. Tout cela demande des ressources.
Concrètement, à combien les chiffrez-vous ?
L’an dernier, nous avions fait une demande de création de 11 postes sur le budget 2017. Je pense qu’aujourd’hui, l’estimation serait beaucoup plus grande. Les autorités comparables à la CNIL ont en gros 600 équivalents temps plein. Nous, on est à 200.
Merci Isabelle Falque-Pierrotin.
