Les RSSI, DSI et autres CTO des sociétés vous le diront quasiment tous : depuis l’adoption du RGPD ils ont (enfin) une oreille beaucoup plus attentive de la part de leurs directions et parfois les moyens de leurs ambitions s’agissant des problématiques de mise en conformité de leurs structures avec les standards de sécurité et le respect du droit des données à caractère personnel.
La raison est incontestablement liée à aux barèmes de sanctions prévus dans le RGPD, largement supérieurs à ceux qui figurent dans la loi dite « Informatique et Libertés » de 1978 modifiée (jusqu’à 150 000 euros avec la loi de 1978, jusqu’à 4% du chiffre d’affaires ou 20 millions après mise en application du Règlement). En outre, débarrassée de la gestion de la plupart des formalités déclaratives, la CNIL pourra effectuer davantage de contrôles.
Parce que la menace est grande, elle est prise plus au sérieux par les sociétés qui découvrent parfois, à cette occasion, que certaines des exigences visées dans le RGPD existent déjà sous l’empire de la loi de 1978.
Pour autant, comme souvent, les entreprises n’adoptent pas la même stratégie face à un risque juridique, aussi important soit-il.
Vous trouvez :
- celles (assez rares) qui savent pertinemment qu’elles ne respectent déjà pas les grands principes de la loi de 1978 modifiée. Et pour cause, une partie de leur modèle économique repose sur la collecte et le traitement illégaux de données à caractère personnel. Ces sociétés sont conscientes qu’une mise en conformité entraînerait la fin de leur business ;
- celles (plus nombreuses) qui imaginent qu’une mise en conformité impliquerait des coûts d’avocats et de prestataires techniques ou l’allocation de moyens financiers à destination de juristes internes ou techniciens dont elles ne disposent pas ;
- celles (difficiles à identifier) qui pensent qu’elles devraient s’y mettre prochainement dans la perspective de l’échéance de mai 2018, mais qui ne savent pas identifier, parmi l’ensemble des offres proposées sur le marché, laquelle choisir afin d’arriver au résultat espéré, et enfin
- celles qui se disent que même si la menace est grande, le coût d’une amende de la CNIL suivie d’une mise en conformité au pas de charge suite à un contrôle en ce sens ne sera pas plus préjudiciable que le fait de décider aujourd’hui de ne rien faire pour prévenir toute amende en ce sens.
Quelle que soit la stratégie ou l’absence réelle de stratégie adoptée par les entreprises, chacune d’entre elles a besoin d’être confrontée au réel.
Même si personne ne sait précisément quelle sera la position adoptée par la CNIL en tant qu’organe de contrôle à compter du 25 mai 2018, on peut imaginer sans difficulté qu’elle sera tentée de faire une distinction entre les sociétés qui ont fait le choix d’ignorer le RGPD purement et simplement et celles qui, quand bien même ne se sont mises en conformité que partiellement, pour cause de processus de mise en conformité en cours de finalisation, ont tout de même eu le mérite d’initier une démarche en ce sens à la date précitée.
Parce que nul n’est censé ignorer la loi, tout argument consistant à répondre à la CNIL que le RGPD n’était pas clair ou trop compliqué à mettre en œuvre ne saurait valablement prospérer.
De même, toutes les dispositions claires qui n’auraient pas du tout été adoptées ne pourront pas trouver d’excuse valable aux yeux de la CNIL (ex : absence de désignation d’un DPO lorsque la société traite et collecte des données sensibles).
Par ailleurs, outre le couperet d’une sanction administrative en cas de contrôle inopiné de la CNIL, les sociétés (en particulier celles ayant vocation à être « sous-traitant ») qui ne seront pas en mesure de prouver leur mise en conformité au RGPD seront désavantagées par rapport à leurs concurrents « GDPR compliant » en mesure de répondre aux exigences contractuelles imposées par leurs clients dans le cadre d’appels d’offres.
En conclusion, à l’instar d’autres obligations légales, une entreprise peut tout à fait envisager de ne rien faire avant le 25 mai 2018, espérer que rien ne se passe tout en se disant qu’il sera toujours possible de mandater en urgence un cabinet d’avocats avec pour mission de la défendre aux yeux de la CNIL.
Cependant, cette « politique » dont le résultat risque de s’avérer en définitive décevant pourrait assurément être plus coûteuse tant en termes économiques que de réputation, que celle consistant à chercher dès aujourd’hui à se mettre en conformité.
A bon entendeur…