HR Path
Tour Montparnasse, étage 41
33 avenue du Maine
75015 PARIS
FRANCE

+33 (0) 153 622 214

Search here:

La position de la CNIL et du parlement Français sur le RGPD

Trois mois avant l’entrée en vigueur du règlement général sur la protection des données, les inquiétudes qu’il suscite sont encore nombreuses. Du côté de la Commission nationale de l’informatique et des libertés (CNIL), pragmatisme, souplesse et informations sur le sujet sont les maitres mots.

La CNIL se veut rassurante et formatrice pour accompagner les entreprises dans leurs mises en conformité avec le RGPD. Lors d’un entretien accordé au quotidien Les Echos la présidente de la commission l’assure, « le 25 mai 2018 ne sera pas une date couperet annonciatrice d’une pluie de sanctions ». L’heure est donc à l’indulgence mais aussi à l’accompagnement. Pour se faire, la CNIL va éditer un guide destiné en priorité aux PME ne disposant pas d’un service et n’ayant pas les moyens de faire appel à un expert en la matière. Un moyen pour la CNIL d’informer le plus grand nombre sur la nouvelle réglementation européenne sur la protection des données.

Un guide synonyme d’une volonté d’aider plutôt que de sanctionner…

C’est du moins ce que laisse entendre Isabelle Falque-Pierrotin, présidente de la CNIL. « Notre but ne sera pas de sanctionner immédiatement des manquements à des obligations nouvelles liées au RGPD. Cela durera certainement le temps de l’année 2018, après on verra » a-t-elle avouée lors de son entretien au quotidien Les Echos. Ce guide co-édité avec la Banque publique d’investissement (BPI) est un moyen pour les petites et moyennes entreprises de se prévenir face au nouveau texte législatif. Ce dernier s’annonce comme très lourd et s’appliquera à l’ensemble des entreprises de l’Union Européenne ainsi qu’à celles exerçant leurs activités au sein de l’espace européen. A compter du 25 mai les sociétés devront déclarer à la CNIL leurs défauts de conformité des données vis-à-vis du règlement et d’en avertir les propriétaires. Du côté du parlement, l’Assemblée nationale a adopté le texte le 13 février dernier à une très large majorité.

Devant un règlement « lourd et exigeant »

La volonté de la CNIL d’accompagner les entreprises s’inscrit sur la durée. « Nous continuerons d’accompagner les entreprises pendant plusieurs mois après l’entrée en application du règlement européen sur la protection des données personnelles (RGPD) » a notamment souhaité Isabelle Falque-Pierrotin. En effet, certaines obligations à venir s’annoncent d’ores et déjà difficiles à atteindre pour les entreprises.

Tout d’abord le futur principe de responsabilisation contraint les organisations à passer sur de l’autocontrôle. Ça sera désormais à elle de prendre les dispositions nécessaires afin de garantir sa conformité des traitements de données personnelles. Elle devra être en mesure de le démontrer à tout moment en tenant un registre à jour de l’ensemble de ses traitements. L’autre point mis en avant est celui de la coresponsabilité des sous-traitants. Ces derniers seront liés contractuellement afin de garantir la protection requise et d’alerter en cas de fuite des données.

Le dernier principe est sans doute celui qui rompt définitivement avec ce qui se fait actuellement en matière gestion de données personnelles. Le « privacy by design » oblige les entreprises à intégrer la protection de la vie privée dès la conception d’un produit et/ou d’un service. L’autre axe est celui du « privacy by default », autrement dit, l’idée qu’un responsable de traitement de données garantit qu’il ne traite que des informations nécessaires à une finalité. Ces données doivent ensuite être effacées systématiquement une fois le travail achevé. Ce privacy by default rétroactif, s’appliquera à tous les traitements existants au 25 mai 2018, date de prise d’effet du RGPD. En revanche, le privacy by design ne concernera que les traitements initiés à partir de cette date.