Accueil Interview RGPD : la politique répressive de la CNIL intègrera « la courbe...

RGPD : la politique répressive de la CNIL intègrera « la courbe d’apprentissage » des entreprises

Etat d'avancement RGPD
Où en êtes-vous dans la mise en œuvre du RGPD

Jean Lessi, le secrétaire général de la Cnil, a depuis le mois de mai dernier la lourde tâche d’accompagner les entreprises françaises sur la voie du RGPD, le Règlement sur la sécurité des données personnelles, qui entre en application le 25 mai prochain. Offres, sanctions… : Solutions Numériques fait le point avec lui.

Alors que le RGPD suscite encore de nombreuses interrogations, en particulier pour les petites et moyennes entreprises, tant au niveau juridique que technique, et qu’un bon nombre d’entreprises est loin d’être en conformité, Solutions Numériques a voulu faire le point avec Jean Lessi, le secrétaire général de la CNIL. Deux priorités comptent. « D’abord, achever au niveau du G29 le travail d’élaboration des lignes directrices, c’est-à-dire des documents qui donnent une interprétation harmonisée au niveau européen des grandes notions-questions du RGPD ». Cela se fera lors de la plénière du G29 au mois de février, précise le responsable. « Deuxième priorité : accompagner les professionnels dans leur démarche de mise en conformité ».

Muscler l’accompagnement 

Cela passe par l’enrichissement du site Internet du régulateur, « notamment les FAQ », au nombre de 500 actuellement, et la mise à disposition d’outils pratiques, « très opérationnels », comme l’assistant personnel pour la réalisation des analyses d’impact sur la vie privée (PIA), mis en ligne à la fin de l’année 2017. Cet assistant logiciel permet de « manière itérative et agile » de réaliser un PIA pour ses propres traitements de données. La CNIL française a été la première à proposer ce type de logiciel, qui a donné lieu à 10 000 téléchargements uniques, précise le responsable. Il faut souligner aussi que, conçu en Open Source et en interne, il intéresse au-delà des frontières, puisqu’il a été traduit en différentes langues. « L’outil, en V0, est appelé à évoluer en fonction des remontées des professionnels ». Si le site dispose aujourd’hui « d’un contenu expert exhaustif », pour les professionnels un peu moins avertis, le régulateur s’est rendu compte qu’il devait « compléter son offre de services », car la prise de conscience et d’information des petites entreprises, TPE-PME, est insuffisante. Il y travaille donc en lien avec les fédérations professionnelles et d’autres administrations pour élaborer une « offre d’informations et de conseils adaptée », un « pack PME »qui sera disponible courant mars sur son site et le cas échéant sur les sites de partenaires.

La CNIL renforce également le dialogue « avec les têtes de réseau » 

A défaut de pouvoir dialoguer avec chacun des acteurs, les secteurs étant très fragmentés, la Commission a également le souci « d’identifier les têtes de réseau et de dialoguer avec elles », aussi bien dans les secteurs privé qu’administratif. Jean Lessi cite en exemple le Syntec Numérique, « qui est un interlocuteur fréquent de la CNIL ». L’objectif est double : « d’abord bien comprendre les besoins opérationnels des acteurs, pour réguler de manière fine et opérationnelle – on ne veut pas légiférer en chambre ». Ensuite, « chercher des relais pour nos messages, nos produits, nos packs sectoriels ».

Pas d’effectif supplémentaire 

Les ressources humaines de la CNIL restent inchangées, soit 200 personnes, avec des profils juridique et technique, capables de proposer une offre de services complète. Avec le RGPD, la CNIL ne modifie pas sa doctrine de recrutement, « bien calée depuis plusieurs années » en termes de panoplie des compétences. Mais faute de moyens budgétaires supplémentaires, les effectifs manquent pour répondre aux questions, aux demandes de conseil, et pour la conduite du dialogue sectoriel. Avec les diverses réglementations nouvelles, dont le RGPD, en 2017, la CNIL a ainsi reçu 170 000 appels à sa permanence juridique, 15 000 requêtes sur son outil en ligne « Besoin d’aide » et 4,4 millions de visites sur le site, soit une augmentation de 1,8 millions par rapport à 2016.

Et les sanctions ?

« Tout le monde ne sera pas forcément conforme le 25 mai, l’essentiel est d’avoir pris conscience et de s’engager dans cette démarche de conformité », indique le responsable. Le gendarme des droits sur Internet sera-t-il alors « clément » avec les entreprises non conformes ? « Il y a des obligations qui existent depuis 40 ans [celles de la Loi Informatique et Libertés] et qui ne changent pas avec le RGPD », et dans ce cas la CNIL continuera sur sa lancée. Mais en ce qui concerne les obligations nouvelles, par exemple sur la portabilité ou sur la notification des violations de données, l’autorité de régulation, qui est « consciente de la nouveauté des obligations, va intégrer la nécessaire courbe d’apprentissage dans sa politique répressive ». En somme, la CNIL ne va pas tirer à boulets rouges sur les entreprises « dans les premiers mois », sauf en cas « de manquements manifestes et graves ». En outre, sa politique répressive ne changera pas, avec des sanctions individualisées, prenant en compte le degré de connaissance, la capacité de chaque acteur à maîtriser ses obligations. « Il y a une prise de conscience tardive des obligations en matière de traitement de données personnelles, mais l’essentiel, c’est cette possibilité pour les citoyens, professionnels, petits et grands acteurs, de monter en compétence, en maturité », conclut le responsable