Lors des premiers contrôles, la CNIL sera clémente

VRAI, mais… d’une part, cela ne durera pas et ne concernera pas toutes les dispositions du texte, et d’autre part, la clémence de la CNIL dépendra aussi de la volonté montrée par l’entreprise contrôlée de respecter le RGPD ! Explications.

Une clémence réelle, mais aussi relative

Le Règlement Général sur la Protection des Données entrera en application le 25 mai prochain. Il semble illusoire de penser que, d’ici là, toutes les entreprises concernées par le RGPD seront prêtes, avec un DPO en place si elles doivent en embaucher un, ainsi qu’un registre des activités de traitement sur les rails. « Tout le monde ne sera pas forcément conforme le 25 mai, l’essentiel est d’avoir pris conscience et de s’engager dans cette démarche de conformité », indique ainsi Jean Lessi, le secrétaire général de la CNIL, au magazine en ligne Solutions Numériques.

Si la CNIL semble s’engager sur la voie de la clémence, celle-ci ne sera que relative : les obligations auxquelles les entreprises doivent faire face depuis la loi Informatiques et Libertés continueront à être strictement contrôlées par l’organisme de contrôle. En revanche, celles qui concernent des obligations nouvelles, comme la portabilité ou la notification de violation de données, feront plus l’objet d’un accompagnement que d’une sanction immédiate. « [La CNIL est] consciente de la nouveauté des obligations, [et] va intégrer la nécessaire courbe d’apprentissage dans sa politique répressive », explique le responsable. Ainsi, « dans les premiers mois » et sauf en cas « de manquements manifestes et graves », les sanctions prononcées à la suite d’infractions aux nouvelles dispositions intégrées dans le RGPD devraient être assez rares, sinon exceptionnelles.

La CNIL semble donc prendre la voie de l’apaisement et de la pédagogie, bien consciente que toutes les entreprises ne peuvent être prêtes le 25 mai. « Il y a une prise de conscience tardive des obligations en matière de traitement de données personnelles, mais l’essentiel, c’est cette possibilité pour les citoyens, professionnels, petits et grands acteurs, de monter en compétence, en maturité. »

Un problème d’effectifs pour la CNIL ?

La CNIL compte sur cette prise de conscience des impératifs liés au RGPD pour que les données personnelles soient « rendues » aux citoyens. Elle se heurte aussi à un réel problème d’effectifs : ceux-ci n’ont pas bougé depuis plusieurs années, et restent aux alentours de 200 personnes. Imaginer que la CNIL contrôlera tout le monde dès le mois de juin est irréel, d’autant qu’elle n’a pu répondre à toutes les demandes liées aux diverses réglementations nouvelles (en 2017, selon les chiffres officiels, la CNIL a reçu 170 000 appels à sa permanence juridique, 15 000 requêtes sur son outil en ligne et 4,4 millions de visites sur le site, une augmentation de 1,8 million par rapport à l’année précédente).

Pour y remédier et accélérer le respect du RGPD, la CNIL va muscler l’accompagnement qu’elle propose en ligne. FAQ, outils de diagnostics en ligne, packs sectoriels, offres de conseils et d’informations… tous ces dispositifs doivent être renforcés dans les prochaines semaines. À surveiller !

Vous voulez mettre toutes les chances de votre côté de respecter les impératifs du RGPD, en prévision d’éventuels contrôles opérés par la CNIL ou par tout autre organisme de contrôle européen ? Téléchargez notre Guide du DPO prêt à l’action !