Le présent article n’a pas vocation à convaincre ceux qui ont définitivement opté pour le fait d’agir si et seulement si l’autorité nationale de contrôle venait effectuer un contrôle inopiné dans leurs locaux à l’issue duquel ils croisent les doigts pour qu’aucune sanction immédiate ne soit prononcée, mais de rappeler à ceux qui se disent que gouverner c’est prévoir, ce qu’il est essentiel de comprendre de la démarche du droit des données à caractère personnel en cette période, post RGPD, synonyme de changement de paradigme.
En mettant, à quelques rares exceptions près de côté le système de déclaration préalable, le RGPD a désormais placé toute la responsabilité (accountability) entre les mains de l’entreprise.
Il lui revient de gérer au mieux les données personnelles qu’elle collecte (en tant que responsable de traitement) qu’on lui communique et/ou qu’elle gère au nom et pour le compte d’un autre (en tant que sous-traitant) en prenant notamment soin de ne collecter que ce qui est nécessaire à son activité (minimisation) tout en étant capable d’expliquer, à première demande par qui, combien de temps ou encore dans quels buts ces données sont traitées (registre de traitement).
Ces questions sont d’autant plus essentielles pour une entreprise lambda que le RGPD, en plaçant sous-traitants et responsables de traitement sur un même pied d’égalité en termes de responsabilité, pousse expressément les responsables de traitement (via l’article 28 du RGPD) à s’assurer que leurs sous-traitants se sont également conformés aux exigences légales, au risque d’être sanctionnés pour ne pas l’avoir fait.
La question de la conformité n’est donc plus dépendante du simple fait de savoir si la CNIL viendra ou non vérifier si la société a procédé aux mesures essentielles (événement qui pour une question de loi du nombre est censé ne pas intervenir pour toutes les entreprises basées en France), mais de celle de savoir si le responsable de traitement à qui il a été indiqué que la société était pleinement en phase avec les exigences légales fera valoir un jour la clause d’audit figurant dans l’avenant spécifique à la protection des données personnelles que vous avez signé avec lui pour s’assurer que vous avez dit la vérité.
Le risque est donc double là où certains l’imaginaient unique.
L’autre conséquence pratique peu appréhendée par les entreprises qui décident de reporter à plus tard leur mise en conformité tient au fait que la CNIL, en cas de contrôle inopiné, et ce dans l’hypothèse où elle ne devait pas prendre immédiatement des sanctions, donnera alors un délai pouvant aller de 30 jours à 3 mois, selon la gravité des infractions, pour corriger un certain nombre de points identifiés.
A cet instant, parce que la sanction sera devenue beaucoup moins théorique que vous l’imaginiez, il conviendra de vous organiser pour corriger rapidement les problèmes identifiés, ce qui dans la pratique consistera à dédier une partie de votre personnel exclusivement à cette question et à solliciter en plus des ressources externes (consultants, avocats) dans l’optique de pouvoir respecter, tant sur les points techniques que juridiques, les délais précités.
Pour un exemple de mise en demeure laissant un délai de 30 jours pour s’y conformer, voir la récente mise en demeure de la CNIL en direction des 5 compagnies d’assurance https://www.cnil.fr/fr/mise-en-demeure-de-cinq-societes-dassurance-pour-detournement-de-finalite-des-donnees-des-assures.
Même si une petite musique consiste à laisser entendre que l’on cherche trop à faire peur aux entreprises en ce qui concerne les implications réelles du RGPD, force est de constater que même si la peur n’évite pas le danger, il n’a pas encore été démontré que le fait de ne pas avoir eu peur permette de mieux se comporter une fois confronté à ce dernier.
Le mieux reste donc de se préparer au risque non seulement parce que la loi vous impose de vous en préoccuper, mais aussi parce que les intérêts économiques de votre entreprise vont en ce sens.
Quel que soit le temps que vous prendra le fait de tenter de mettre en conformité votre société, il sera toujours plus facile d’avoir débuté un réel travail de fond au moment où l’autorité nationale de contrôle vous demandera des comptes que de vous y mettre à la vitesse grand V, contraint et forcé par la mise en demeure et autres menaces de sanctions qui pèseront sur vous.
A bon entendeur...
