Face à la question de la captation des données personnelles, le besoin d’une cohérence

MisterDams a écrit :



Il faudra voir la mise en pratique… Le RGPD est en mode épouvantail pour l’instant, mais les contrôles vont d’abord se centrer sur une prise de température, les entreprises n’auront qu’à “faire preuve de bonne foi” sur le fait qu’ils travaillent sérieusement sur le sujet pour échapper aux amendes. Bon, c’est toujours ça de pris.



On aura sûrement rien de bien concret sur ces contrôles avant au moins 5 ans.





En réalité la RGPD change peu de choses sur le fond.



En revanche, deux difficultés pourraient faire tourner la chose au vinaigre:

1. Un flou artistique sur les “nouvelles” notions clefs de la RGPD: 
   
   les quelques dispositions nouvelles (comme le DPO ou DPIA) reposent sur des notions non définies comme le traitement à “grande échelle” et le “suivi régulier” des personnes. En l’état les textes ne permettent pas de fonder une sanction qui ne tiendrait pas 2s devant le Conseil d’Etat. Le flou est tel que le G29 a du se fendre il y a peu de divers documents dits “ligne directrice” pour tenter d’appréhender les notions jetées dans la RGPD sans la moindre définition.
   
   
   
   Problème, ces documents sont en Anglais et n’ont aucune force légale. A charge pour la Loi de venir sauver les notions nouvelles de la RGPD sans quoi le texte ne sera que de beaux principes sans aucune efficacité (ça serait pas nouveau au regard des résultats obtenus en la matière…).
   
   
   


2. La crispation des secteurs économiques:
   
   Par l’inquiétude (pas toujours illégitime) d’entreprises mais encore d’associations, de syndicats et de politiques, un important lobbying est fait pour priver la RGPD de toute efficacité.
   
   
   
   La lecture qui a été faite par certains de ce texte (notamment pour mieux fourguer leurs solutions et conseils aussi bien techniques que juridiques), fait la description d’un encadrement administratif insoutenable de lourdeur et de complexité , d’un rigorisme imbécile, impliquant de payer une dime à des types qui n’ont aucune responsabilité pour avoir la paix (A l’image des certificats énergétiques des maisons…).
   
   
   
            Par ailleurs, s’il est souvent mis en avant que le texte laissait deux ans pour le mettre en œuvre, la réalité est qu’à moins de 3 mois de la date d’effectivité, des éléments essentiels ne sont toujours pas connus:
   
   . le G29 n’a édité que quelques lignes directrices pour comprendre la RGPD (avec souvent de nouvelles interrogations à la clef),
   
   . la CNIL n’a effectué aucune traduction des lignes directrices uniquement disponibles en anglais, pas plus que sa communication n’a été efficace.
   
   . On ignore toujours comment gérer la différence historique entre finalité de la collecte et finalité du traitement qui est absente des textes européens mais jusqu’à présent toujours reprise dans nos Loi (1978 et 2004).
   
   . les recommandations techniques restent faméliques de sorte qu’il est impossible de dire que telle ou telle architecture/solution est à ce jour dans les clous ou non.
   
   
   
   Donc je partage ton analyse, la CNIL a effectivement intérêt à faire d’abord de la pédagogie tandis que des éléments clefs n’ont toujours pas été donnés à 3 mois de la date “fatidique” et que la CNIL (et le G29) sont totalement à la bourre sur leurs propres textes. A défaut, le retour de bâton politique va être terrible pour elle.