RGPD : la CNIL veut rassurer les PME, mais s’inquiète de ses moyens

RGPD : la CNIL veut rassurer les PME, mais s’inquiète de ses moyens

Bientôt une trousse à outils à destination des PME

Avatar de l'auteur
Marc Rees

Publié dans

Droit

26/01/2018 4 minutes
10

RGPD : la CNIL veut rassurer les PME, mais s’inquiète de ses moyens

Hier en fin de journée, la CNIL a fêté ses 40 ans d’existence. À cette occasion, Isabelle Falque-Pierrotin revient dans nos colonnes sur ce futur proche : l’entrée en vigueur du Règlement général sur la protection des données. Un message de la présidente de l'autorité qui se veut rassurant à destination des entreprises.

La CNIL, née du scandale du projet SAFARI en 1974, s’apprête 40 ans plus tard à la mise à niveau de la législation européenne, suite à l’entrée en vigueur du Règlement général sur la protection des données personnelles (RGPD).

Logique de responsabilité, « privacy by design » (et donc en amont), transparence, droit à l’oubli, consentement des mineurs, notification des failles de sécurité, désignation d’un délégué à la protection des données (DPO), sanctions nettement alourdies, etc. C'est peu de le dire : le RGPD est gorgé de nouvelles règles.

Hier soir, à l’occasion d’une cérémonie dans ses locaux, la présidente Isabelle Falque-Pierrotin a (encore) voulu rassurer les entreprises face à ce grand saut en avant.

Que répondez-vous aux entreprises, dont les PME, qui s’inquiètent des contraintes nées du RGPD ?

Il y a un phénomène de rattrapage à l’occasion de ce règlement européen. Aujourd’hui, beaucoup d’entreprises réalisent qu’elles ne sont même pas conformes à la loi Informatique et Libertés de 1978. Les niveaux de sanction du RGPD font qu’elles se disent « mon dieu, il faut que je prenne de vraies mesures pour traiter de la question des données personnelles ! ».

Ce que je leur dis est qu’il n’y aura pas un couperet le 25 mai 2018. En réalité, on angle sur une stratégie d’accompagnement de ces acteurs pour faire en sorte qu’elles comprennent les nouvelles obligations, les nouveaux outils qu’elles doivent déployer.

En revanche, les principes - qui eux sont les mêmes avant et après le RGPD -, seront sanctionnés de la même manière en septembre 2018 qu’on ne le fait aujourd’hui, au mois de janvier. On a donc une stratégie d'accompagnement sur les outils et les nouveaux droits. En revanche, les principes seront appliqués dès le mois de mai.

Mais comment assurer cet accompagnement ?

Nous sommes très soucieux de la compréhension des PME et PMI. Nous sortirons en ce sens un nouveau produit, que l’on va coproduire avec la BPI, qui allie nos forces pour être suffisamment rapide.

C’est un guide, une sorte de produit clef en main, un pack de conformité RGPD simplifié à destination de ces acteurs. J’y crois beaucoup, car ils constituent un peu le maillon faible en termes de population d’entreprises, car ils n’ont pas nécessairement les conseils juridiques dont bénéficient les grands groupes.

Vous avez visiblement de l’espoir avec ce règlement…

C’est une chance historique pour l’Europe de remonter dans le train du numérique. Il faut considérer que ce nouveau cadre juridique nous donne les moyens de nous remettre à égalité de concurrence avec les acteurs internationaux.

Il offre aussi la possibilité de faire de la vie privée un argument de différenciation concurrentiel, car dans le fond, cela répond aux attentes des consommateurs européens. Je suis optimiste, car il faut faire en sorte que ce cadre fonctionne bien et qu’on s’en empare collectivement.

Et quelles sont vos craintes ?

Que nous n’ayons pas suffisamment de ressources pour faire le métier qui est le nôtre dans les années à venir. J’ai exprimé cette crainte depuis plusieurs mois.

Le RGPD pose la question de l’accompagnement, lequel nécessite des moyens qui sont en fait beaucoup plus importants que le traitement des autorisations ou des déclarations.

À la CNIL, les ressources dédiées à ces activités-là étaient très réduites, car on avait déjà anticipé la mise en œuvre du règlement. En revanche, accompagner les secteurs public et privé nécessite d’avoir des gens en interne qui comprennent les problématiques, qui soient formés et aient le temps de comprendre les stratégies. Tout cela demande des ressources.

Concrètement, à combien les chiffrez-vous ?

L’an dernier, nous avions fait une demande de création de 11 postes sur le budget 2017. Je pense qu’aujourd’hui, l’estimation serait beaucoup plus grande. Les autorités comparables à la CNIL ont en gros 600 équivalents temps plein. Nous, on est à 200.

Merci Isabelle Falque-Pierrotin.

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Que répondez-vous aux entreprises, dont les PME, qui s’inquiètent des contraintes nées du RGPD ?

Mais comment assurer cet accompagnement ?

Vous avez visiblement de l’espoir avec ce règlement…

Et quelles sont vos craintes ?

Concrètement, à combien les chiffrez-vous ?

Commentaires (10)


“Que nous n’ayons pas suffisamment de ressources pour faire le métier”



C’est un peu l’histoire de la CNIL, jusqu’en 2004 elle n’était que fantomatique et quasi inexistante, après la Loi de 2004 elle a pris un peu plus d’importance, mais elle reste largement inefficace face à de grands groupes internationaux qui sont des dangers véritables pour les données persos et plus largement notre vie privée.



S’il est enfin heureux que les entreprises prennent connaissance de leurs obligations en ce domaine, c’est souvent fait de façon très contestable: un discours anxiogène (qui va jusqu’au spam et fax publicitaire d’escrocs), un tableau volontairement noirci par certains prestataires qui se comportent volontairement en Cassandre pour fourguer leurs conseils et/ou leurs outils etc…



Dans ma profession y a une véritable vague de peur, du coup on organise un colloque gratuit avec différents intervenants pour expliquer que la RGPD n’a rien de révolutionnaire, qu’il faut simplement enfin répondre aux obligations posées depuis des décennies, à charge pour les pros de s’interroger sur les outils qu’ils utilisent et comment les sécuriser concrètement. (et ça gonfle les vautours que je citais plus haut… rien que ça c’est plaisant ^^ ).



La CNIL doit reprendre la main dans la communication sur ce sujet, à défaut la crispation naissante sur la RGPD mettra le texte en échec, ceci à la faveur d’un politique qui voudra rassurer à bon compte les entreprises.


Y a bien un service que je soutiendrai c’est bien la CNIL et voir d’autres services non prioritaires set surpayés avoir des fonds indécents m’énerve grandement…


“Nous sommes très soucieux de la compréhension des PME et PMI. Nous

sortirons en ce sens un nouveau produit, que l’on va coproduire avec la

BPI, qui allie nos forces pour être suffisamment rapide.

C’est un guide, une sorte de produit clef en main, un pack de

conformité RPGD simplifié à destination de ces acteurs. J’y crois

beaucoup, car ils constituent un peu le maillon faible en termes de

population d’entreprises, car ils n’ont pas nécessairement les conseils

juridiques dont bénéficient les grands groupes.”





Je l’attends impatiemment.








crocodudule a écrit :



S’il est enfin heureux que les entreprises prennent connaissance de leurs obligations en ce domaine, c’est souvent fait de façon très contestable: un discours anxiogène (qui va jusqu’au spam et fax publicitaire d’escrocs), un tableau volontairement noirci par certains prestataires qui se comportent volontairement en Cassandre pour fourguer leurs conseils et/ou leurs outils etc…



 

On ne peut pas mettre ça sur le dos de la CNIL. Au contraire elle a un discours rassurant, il n’y aura pas d’amende le 1er jour d’application, elle fait plein de pédagogie,… Bref ça continuera comme aujourd’hui, avec des sanctions rares, seulement dans les cas où il y a de la mauvaise foi, et où rien n’a été fait malgré les multiples mises en garde.



&nbsp;Pour les effectifs, ça mériterait une comparaison avec les équivalents européens : budgets, effectifs, et scope d’intervention. Un futur dossier ? de NXi ? <img data-src=" />









Jarodd a écrit :



Pour les effectifs, ça mériterait une comparaison avec les équivalents européens : budgets, effectifs, et scope d’intervention. Un futur dossier ? de NXi ? <img data-src=" />



<img data-src=" />+1









Jarodd a écrit :



&nbsp;

On ne peut pas mettre ça sur le dos de la CNIL. Au contraire elle a un discours rassurant, il n’y aura pas d’amende le 1er jour d’application, elle fait plein de pédagogie,… Bref ça continuera comme aujourd’hui, avec des sanctions rares, seulement dans les cas où il y a de la mauvaise foi, et où rien n’a été fait malgré les multiples mises en garde.





Je le sais parfaitement, la CNIL n’a pas l’intention (qui serait totalement contre productive) de massacrer à tour de bras les entreprises à compter du 25 mai.



A l’inverse (et comme souvent dans son histoire), elle souhaite faire preuve de pédagogie et que les gens dont les pros, se préoccupent de protéger les données persos.



Mais le problème est que le discours qui a le plus d’audience, n’est pas celui de la CNIL, mais celui de certains conseils/prestataires dans ce domaine, qui dispensent l’idée qu’à partir du 25, les amendes vont pleuvoir, que les pros pourront pas les régler et devront fermer, sauf à recourir aux services des conseils/prestataires en question qui naturellement contre espèces sonnantes et trébuchantes vont les aider.



Rien que sur la question de l’audit de conformité et alors qu’il n’y a pas à ce jour d’infraction à sa non mise en œuvre, certains présentent cet audit comme obligatoire sinon l’entreprise aura nécessairement une amende de 4% du CA !



C’est faux et archi faux, l’absence d’audit n’est pas en lui-même punissable, il faudra en outre démontrer qu’il y a un manquement à la réglementation.



En revanche, l’audit (qui peut pour l’essentiel être mené en interne) est un excellent moyen de voir là où des choses doivent être faites. Pour l’essentiel des boites, c’est largement faisable.



Assez d’accord avec toi, bien qu’un peu plus nuancé.



Je trouve cependant que si fondamentalement la GDPR n’est pas révolutionnaire, il y a quand même passablement de petites choses qui mises ensemble font qu’on va vraiment faire un pas en avant en terme de protection des données et des obligations qui vont avec. Le côté peur vient du fait que pour beaucoup, la question “protection des données” a été réglée il y a très longtemps, et le passage au règlement fait se poser des questions qu’on avait cessé de se poser.



D’ailleurs, bosser avec les entreprises qui traitement les données est au coeur de ce que le législateur veut faire avec la GDPR: on fait relativement confiance au responsable pour qu’il prenne les mesures qui lui assureront d’être compliant.



En gros, ce règlement n’a rien d’insurmontable et prévoit des outils plutôt pratiques pour les responsables du traitement. Par contre, il faut aussi admettre qu’ il y a une part d’inconnu plus important que d’habitude dans la mise en oeuvre du règlement.



&nbsp;Il y a aussi un vrai risque (plus d’obligations et des sanctions potentiellement plus graves) pour les responsables du traitement qui n’étaient déjà pas en conformité avec la législation précédente, et ils sont relativement nombreux.


Et là, je me demande si je suis en conformité ou pas et j’attends avec impatience ce guide vu que je n’ai pas forcément tout bien suivi.


Dans le livre Numérique, reprendre le contrôle de Nina Cercy et Tristan Nitot, Isabelle Falque-Perrotin explique qu’en Irlande, par exemple, il n’y a qu’une personne pour faire le travail. Même ramené à la taille de la population, nettement plus petite que celle de la France, cela ne fait pas beaucoup.


Très bonne lecture&nbsp;<img data-src=" /> (je l’ai lu il y a 2 mois)