Exécutoire depuis le 25 mai 2018, le Règlement général sur la protection des données fêtera bientôt son premier anniversaire. L’occasion de faire un bilan avec Maitre Anne-Sophie POGGI, Avocat à la Cour spécialisée en droit de la donnée.
Les entreprises françaises ont-elles réussi à se mettre en conformité ?
Anne-Sophie POGGI : Les entreprises françaises se sont mises en ordre de marche très tardivement. On a beaucoup communiqué sur l’entrée en application du 25 mai 2018, mais personne n’a entamé de processus dès l’adoption de ce règlement en avril 2016 comme ce fut le cas en Allemagne. Nous restons en France dans une logique de « pas vu, pas pris » et on attend de voir comment la CNIL va réagir. La moitié des entreprises a entamé un processus de mise en conformité.
Pourquoi un tel retard ?
Anne-Sophie POGGI : La mise en conformité des grands comptes dépend de leur secteur d’activité. Ceux qui sont en B2C sont plus avancés que ceux en B2B. Mais les bons élèves sont principalement les PME, en particulier, celles dont l’activité est dans la ligne de mire de la CNIL.
Comme il s’agit d’une démarche continue, il reste encore des choses à faire, notamment en ce qui concerne les analyses d’impact (PIA) sur la vie privée et le registre des traitements. Avec le principe d’accountability, vous devez avoir mis vos process en conformité. Cela implique d’établir une documentation précise, de rédiger des mentions d’information pour les personnes concernées, d’instaurer des process internes en cas de violation de données, mais aussi de former et d’informer vos collaborateurs afin qu’ils soient associés à ce projet.
Pour l’instant, il y a eu peu de sanctions.
Anne-Sophie POGGI : L’activité de la CNIL n’est pas née avec le RGPD. En 2018, il y a eu dix sanctions pécuniaires, dont neuf relevant de la Loi Informatique et Libertés de l’ancien régime . La seule qui s’appuie sur le nouveau texte européen est celle contre Google. Elle reposait sur deux plaintes déposées dès le 25 mai dernier. Je rappelle qu’avant d’arriver à cette sanction pécuniaire, il y a différents niveaux de sanction : rappel à l’ordre, mise en demeure de mettre le traitement en conformité avec le RGPD délai pour se mettre en conformité, suspension des flux de données, amendes… Il faut surtout souligner qu’il y a eu une augmentation sensible des plaintes déposées auprès de la CNIL (plus de 11 000 l’année dernière). Il y aura d’autres condamnations en France d’ici la fin de cette année en France.
