La mise en application du RGPD est désormais effective.

Les sociétés qui s’y étaient préparées      depuis plusieurs mois poursuivent un travail consistant à maintenir cette conformité dans le temps (mise à jour de leurs registres de traitement, veille informationnelle, sensibilisation du personnel, etc).

Celles qui s’étaient données jusqu’au 25 mai 2018 pour commencer une démarche consistant à choisir un prestataire compétent pour les accompagner dans une mise en conformité au prétexte que la CNIL aurait dit qu’elle saurait tenir compte des démarches entreprises par la société contrôlée se mettent en ordre de bataille afin de procéder à une sélection du prestataire idoine.

Dans la série des déclarations susceptibles d’interprétations différentes qu’aurait tenues la CNIL, II  y a celles consistant pour cette dernière à dire qu’elle n’exigera pas de l’entreprise qu’elle contrôlera qu’elle soit en tous points conformes aux exigences du RGPD.

La vision optimiste de ce discours consiste à penser que la CNIL ne sanctionnera pas, pendant un certain laps de temps, les entreprises non conformes et donc qu’il reste encore du temps.

L’autre, plus réaliste, consiste à se rappeler qu’avant le 25 mai 2018, et notamment entre la fin de l’année 2017 et le début de l’année 2018,  des entreprises parmi lesquelles Hertz ou encore Darty étaient déjà sanctionnées de fortes amendes sur la base des dispositions de la loi qui fêtent cette année ses 40 ans à savoir la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Parce qu’une grande majorité des dispositions figurant dans le Règlement européen étaient déjà dans la loi nationale, la CNIL ne manquera pas de faire ce qu’elle a toujours fait concernant les violations graves qu’elle constate...avec cette légère nuance que les sanctions pourront être considérablement plus élevées que par le passé.

En somme, seul le non respect des nouvelles dispositions inhérentes au RGPD, parmi lesquelles on peut citer le droit à la portabilité, devraient faire l’objet d’une forme de clémence.


Inutile donc d’envisager de rétorquer à la CNIL lors d’un contrôle qu’elle avait promis de laisser le temps aux entreprises d’intégrer le RGPD, compte tenu du fait que cela ne s’applique en réalité qu’à ce que le RGPD apporte de nouveau par rapport aux dispositions déjà existantes.

Pour ce qui est de la méthodologie à mettre en place pour être jugé comme conforme à la loi de 1978, d’une part, et au RGPD, d’autre part, gardez à l’esprit que vous ne serez pas jugé sur la méthode, mais bel et bien sur le caractère exhaustif et pertinent des documents que vous fournirez à la CNIL visant à ce qu’elle sache département par département ou métier par métier :

- Qui collecte et traite la donnée ?

- Quelle est la nature de celle-ci ?

- Combien de temps est-elle conservée, selon sa nature ?

- Est-ce qu’elle est transférée hors UE (et le cas échéant quelle est la disposition qui l’autorise (BCR, CCT, privacy shield) ?

- Est-ce que des sous-traitants à qui vous communiquez ces données sont sollicités pour vous accompagner ? etc...etc...

Le principe d’accountability ou de responsabilisation, qui tranche avec le système déclaratif qui  était en vigueur avant le 25 mai 2018, fait de vous un interlocuteur dont la CNIL attendra qu’il prouve de façon claire qu’il a bien intégré les grandes lignes des dispositions légales relatives aux données personnelles et ce non seulement sur le papier (registre)...mais aussi dans les faits (système d’information).

A bon entendeur....


Réalisation & référencement Créer un site internet d'avocat

Connexion

En poursuivant votre navigation sur ce site, vous acceptez l'installation et l'utilisation de cookies sur votre poste, notamment à des fins d'analyse d'audience, dans le respect de notre politique de protection de votre vie privée.