Le Règlement général relatif à la protection des données (RGPD) est dans toutes les têtes depuis quelques semaines. Les entreprises (qui ne sont pas les seules à être concernées, loin de là !) commencent à prendre conscience de l’existence de ce Règlement et de ce que cela implique.
Son entrée en vigueur prévue pour le 25 mai 2018 aura des impacts aussi bien sur les services de ressources humaines, que sur l’organisation interne des responsabilités. Bien que la mise en oeuvre du RGPD soit annoncée comme progressive par la Commission européenne, toutes les entreprises sont fortement invitées à s’adapter en amont… pas évident quand il reste quelques mois seulement et que la loi adaptant certaines dispositions du droit français est encore en discussion au Sénat.
Cette prise de conscience tardive ne concerne pas que les français, nos voisins européens s’inquiètent aussi de l’entrée en vigueur très prochaine du RGPD et s’alarment des conséquences que cela pourrait avoir.
RGPD : nos voisins sont aussi mal préparés que nous
Nous pourrions penser que l’impréparation à l’entrée en vigueur d’un texte européen est une spécificité française (rappelons qu’en matière de protection des données, la directive européenne du 24 octobre 1995 qui devait être transposée avant le 24 octobre 1998 a été transposée en droit français par la loi du 6 août 2004 !). Pourtant, même en se limitant à la presse européenne francophone, nous constatons que tous les pays se trouvent dans la même tempête.
Au Luxembourg, à trois mois de l’entrée en vigueur du RGPD, 74% des entreprises n’ont aucune idée de ce qu’est le RGPD. Bien que la Commission nationale pour la protection des données (la CNIL luxembourgeoise) ait proposé un guide de préparation dès le mois d’août 2017, un long chemin serait encore à parcourir pour une large majorité d’entreprises. Cependant, soulignons que cela signifie à l’inverse que 24% des entreprises situées au Luxembourg sont conformes au RGPD. Pas sûr que la France puisse en dire autant.
Nos voisins belges s’inquiètent, eux, de l’impréparation des autorités au RGPD. Ainsi, l’autorité de contrôle de Belgique, qui sera nommée Autorité de Protection des Données à partir du 25 mai 2018, ne sera pas prête. Cela signifie que le contrôle des traitements de données personnelles, qui est une partie importante du RGPD, ne pourra pas être effectué convenablement, ce qui pourrait entrainer des violations impunies du règlement.
En Suisse, l’heure est à la pédagogie afin de rappeler aux différents acteurs que le RGPD s’applique aussi à certaines entreprises suisses.
Certaines de ces problématiques se retrouvent en France avec notamment des incertitudes quant aux capacités de la CNIL à assurer son rôle de vérification des traitements de données personnelles mis en oeuvre. Il est évident que les entreprises doivent être conscientes qu’un compte à rebours est lancé et qu’elles doivent se conformer rapidement au RGPD.
