Le RGPD (règlement général sur la protection des données) entrera en vigueur le 25 mai 2018 et toutes les entreprises seront concernées, même les plus petites. Les entreprises ont encore quelques mois pour se préparer et elles doivent impérativement être conformes aux nouvelles règles quand celles-ci seront applicables. En effet, le non respect des dispositions relatives à la protection des données personnelles pourra donner lieu à des amendes élevées pouvant mettre en risque une entreprise qui n’aurait pas pris ses précautions.
Les députés discuteront dans l’hémicycle, dès demain, le projet de loi adaptant le droit français au RGPD. Le rapport qui vient d’être publié donne, à ce titre, des indications sur les évolutions à venir.
Vers un accompagnement des petites entreprises
L’adaptation des procédures internes des entreprises au RGPD ainsi qu’au droit national est un enjeu central de la réforme. Pour que celle-ci soit un succès, et que les nouvelles mesures de protection des données personnelles prévues par le RGPD soient respectées par tous les acteurs, il faut que chacun ait les moyens de s’y adapter. Cette problématique des moyens touche surtout les très petites, petites et moyennes entreprises qui n’ont pas nécessairement la trésorerie pour financer rapidement une adaptation au nouveau droit.
Le rapport remis dans le cadre du projet de loi propose ainsi une partie dédiée à l’accompagnement de toutes les petites entreprises. A cet égard, il est prévu de rédiger des codes de conduite spécifique et de mettre en oeuvre des mécanismes de certification concernant la protection des données.
Nous apprenons également que la CNIL sera relativement indulgente à l’égard des TPE-PME concernant l’adaptation au RGPD. Elle a même prévu de publier une série de documents appelée “Pack PME-TPE” qui devrait aider les entreprises de moins de 250 salariés à se mettre en conformité avec le RGPD.
L’existence de cette tolérance vis-à-vis des petites entreprises est bienvenue, mais on ne sait rien de sa durée. On peut légitimement se demander à partir de quel moment les autorités considéreront que tous les acteurs doivent connaître et appliquer le nouveau RGPD sans possibilité de faire valoir une sorte de “droit à l’erreur”. Le répit accordé pourrait très bien n’être que de courte durée…
Comment appréhender la logique de responsabilisation des acteurs
La loi française reprendra à son compte la nouvelle logique du droit européen diffusée par le RGPD. C’est une logique d’accroissement de la responsabilité des acteurs qui traitent des données personnelles. Ainsi, dans les cas généraux de traitement de données, les formalités préalables (comme la déclaration ou l’autorisation) à la mise en oeuvre des traitements sont destinées à disparaître.
Certains types de traitements de données personnelles pourront continuer à être soumis à des formalités préalables strictes, si le droit national le prévoit. C’est le cas avec les données de santé issues du système national des données de santé (SNDS).
La nouvelle liberté accordée aux acteurs qui mettent en place des traitements de données personnelles est toutefois soumise à de nouvelles obligations comme la création d’outils destinés à protéger les données dès la conception des traitements (on parle de privacy by design), la désignation d’un délégué à la protection des données (qui n’est obligatoire que dans certaines conditions), ou la mise en oeuvre d’un registre des traitements.
Globalement, le projet de loi reprend les grandes lignes du RGPD mais il faut encore rester prudent, les discussions à l’Assemblée nationale pourraient faire naître de nouvelles mesures, plus ou moins contraignantes pour les responsables de traitements et les sous-traitants.