Alors que le RGPD (Règlement général pour la protection des données) est sur le point d’entrer en vigueur le 25 mai 2018, la Commission européenne vient seulement de publier ses orientations. Dans un communiqué paru le 24 janvier 2018, la Commission estime qu’il est temps de mettre en lumière tout ce qui doit être mis en oeuvre pour être prêt dans quatre mois afin de faire face aux nouvelles règles relatives à la protection des données. Mieux vaut tard que jamais.
L’application du RGPD pourrait être très progressive
Le communiqué de la Commission européenne est clair, il précise toutes les évolutions qui restent à mettre en oeuvre, tant au niveau européen que national, afin de faire en sorte que le RGPD soit appliqué correctement. A cent jours de l’entrée en vigueur du Règlement général sur la protection des données, la parution de telles orientations semble indiquer que l’application ne sera pas immédiate entre le 24 mai et le 25 mai 2018. Une marge de progression et des seuils de tolérance devraient être instaurés.
En effet, la Commission reste très conciliante dans ses orientations : elle rappelle qu’il doit encore être procédé à de nombreux ajustements concernant les droits nationaux, mais aussi concernant la mise en place de l’autorité européenne de la protection des données qui regroupera toutes les autorités nationales chargées de cette mission. En France, la mise en conformité du droit national sera discutée à l’Assemblée nationale à partir du 6 février 2018 et l’examen en Commission des affaires sociales a déjà eu lieu.
Tout le discours de la Commission européenne concernant l’entrée en vigueur du RGPD laisse entendre que la mise en conformité se fera dans la durée (sans qu’aucun délai ne soit donné) et devra faire l’objet d’accompagnements : ainsi, une nouvelle page censée regrouper toutes les informations à savoir pour se conformer au RGPD vient d’être mis en ligne. Son penchant pour les citoyens a également été créé.
RGPD : les entreprises doivent-elles prendre leur temps ?
Les signaux envoyés par la Commission européenne ne signifient pas pour autant que les entreprises françaises auront un délai supplémentaire pour s’adapter au RGPD. En effet, cela fait plusieurs semaines que la CNIL a publié son propre guide, ses propres outils et ses recommandations pour faciliter l’adaptation des acteurs effectuant des traitements de données à caractère personnel.
Toutefois, on peut légitimement supposer que la CNIL lancera dans un premier temps des rappels, avant de procéder à la délivrance de véritables sanctions dont la sévérité a, soulignons-le, été revue à la hausse. Le contexte français reste cependant à stabiliser. Les entreprises établies en France devraient tout faire pour être conformes au RGPD avant le 25 mai 2018, mais nous ne sommes pas à l’abri de dispositions à venir, propres au droit national, dans la nouvelle version de la loi relative à l’informatique et aux libertés qui devrait être votée d’ici le 8 février 2018.
Il est donc fortement conseillé de procéder par étapes et, par une politique interne de protection des données, de prouver la bonne foi de l’entreprise.
