DOCaufutur : Tout le monde parle de RGPD. Mais selon-vous, à quelques jours de la date-butoir (le 25 mai, ndlr) où en sont les entreprises sur le terrain ?
Tout le monde en parle, ce qui est déjà une bonne chose ! Mais, à moins de 100 jours du 25 mai, beaucoup d’entreprises sont encore à la rédaction des plans d’action et à la mise en place des équipes protection des données. Il suffit de regarder le nombre d’offres d’emploi pour des postes de DPO ! Nous attendons la publication du nouveau baromètre RGPD de la AFCDP (https://www.afcdp.net/-Barometre-du-RGPD-), le dernier datant du premier trimestre 2017 et faisant état de 19% d’entreprises qui seraient conformes à l’échéance du 25 mai, 44% qui ne seraient pas complètement conformes, et 33% pas du tout en conformité. Une autre étude, publié sur le site Global Security Mag et réalisé par EfficientIP au niveau mondial (https://www.globalsecuritymag.fr/Enquete-EfficientIP-100-jours,20180215,76978.html), fait état de 72% d’entreprises dans le monde « confiantes », mais uniquement 66% en France, pour 84% aux États-Unis ou 75% au Royaume Uni.
Quelle est la principale difficulté à laquelle sont confrontées les entreprises dans le cadre de ce projet ?
Il faut être honnête sur la question : bien que le RGPD apporte des nouveautés et uniformise certains principes dans l’ensemble des pays de l’UE, beaucoup d’obligations étaient déjà présentes tant dans la directive actuelle, qui date de 1995, comme dans la loi Informatique et Libertés, dont le premier texte est de 1978. Par ailleurs les premières propositions de texte pour le RGPD étaient déjà connues en 2012. La principale difficulté donc c’est le retard cumulé au fil des années, qu’il faut maintenant rattraper, en particulier pour des entreprises ayant peu ou pas de processus liés à la protection des données. De ce fait, ces entreprises doivent comprendre la loi, traduire le RGPD à leur contexte, mettre en place des équipes protection des données (et/ou un ou une DPO) et revoir leurs processus.
Quelle sera selon vous l’attitude de la Cnil face aux manquements de la compliance ?
La CNIL, ainsi que d’autres autorités en Europe, ont exprimé une intention de souplesse, comme le déclarait récemment Madame Falque-Pierrotin dans un entretien paru dans Les Echos. Cette intention est à prendre avec beaucoup de modération car, d’une part, elle ne porte que sur les nouvelles obligations, et d’autre part, il ne s’agirait nullement d’une « autorisation de non-conformité », je pense plutôt à une souplesse dans l’aide à la mise en conformité en cas de manquement constaté, qui devrait de toute façon se faire rapidement. Par ailleurs, et comme c’est le cas aujourd’hui, il ne faut pas oublier que les citoyens auront le droit de faire valoir leurs droits et de faire des réclamations auprès de la CNIL.