Dans un entretien accordé au journal Les Echos, Isabelle Falque-Pierrotin, la présidente de la CNIL, tiens à rassurer les entreprises quant aux sanctions et contrôles suite l’entrée en vigueur du RGPD le 25 mai.

Les entreprises qui ne seront pas totalement prêtes le 25 mai prochain ne feront pas l’objet de sanctions dans l’immédiat

Isabelle Falque-Pierrotin explique en effet qu’elle est bien consciente que toutes les entreprises ne seront pas aux normes le vendredi 25 mai : « il ne faut pas voir le 25 mai comme une date couperet » confie-t-elle. Il est nécessaire de noter que la CNIL n’interviendra en effet pas en masse à cette date mais commencera surtout à vérifier que les mesures sont en instances de mise en place.

Pour cela, le régulateur qu’est la CNIL se met à leur service – notamment via la publication d’outils – pour les accompagner vers la conformité. Par exemple, la Commission nationale informatique et libertés (CNIL) et Bpifrance s’associent pour accompagner au travers d’un guide pratique les TPE et PME dans leur appropriation du règlement européen sur la protection des données et répondent ainsi aux questions courantes (Quelles sont les nouvelles obligations ? Quels sont les risques ? Qui est l’interlocuteur ?).

Lors de la présentation de ce guide, Isabelle Falque-Pierrotin, la présidente de la CNIL, préfère commencer par rassurer son auditoire : « Les TPE et PME pour lesquelles les données personnelles ne sont pas au cœur de leur activité n’auront à déployer que des moyens limités. Les obligations du RGPD sont effectivement proportionnelles à la taille des entreprises ». Néanmoins, aucune n’y échappera et toutes devront revoir leurs procédures de collecte des données.

Quand les sanctions tomberont elles ?

Là encore, Isabelle Falque-Pierrotin affirme qu’il n’y aura pas d’automatismes et que chaque dossier sera examiné au cas par cas, dans le but de savoir si l’entreprise s’est effectivement préoccupée de la protection des données personnelles. Une nouvelle fois, dans une démarche pédagogique, la CNIL travaille à la publication de référentiels sectoriels, qui vont traduire toute la doctrine passée de la CNIL dans le nouveau cadre juridique et qui seront très utiles aux entreprises. Ces derniers seront publiés au fur et à mesure d’ici à 2019. La date du début des sanctions n’est, quant à elle, pas actée. Bien évidemment, la CNIL sera moins tolérante envers une entreprise après la publication de son référentiel sectoriel.

Faire attention aux entreprises proposant des solutions de conformité frauduleuses

Expertises frauduleuses, numéro surtaxé et prestations « clé en main » : selon la CNIL, les petites entreprises françaises feraient face à des sollicitations indésirables pour se conformer au RGPD venant de la part « d’entreprises peu scrupuleuses ». Ces dernières profiteraient de la confiance des entreprises pour vendre des services proches de l’arnaque.

Par téléphone ou fax, des sociétés proposent des prestations pour garantir la conformité d’une activité au RGPD, se présentant comme labellisées ou mandatées par la CNIL. La commission nationale met en garde : ces entreprises ne seraient pas qualifiées et pourraient même préparer une escroquerie. Pour contrer l’assaut de différents experts malveillants, la CNIL a même lancé une campagne #StopArnaque.

La Commission Nationale rappelle qu’avant tout engagement avec un expert ou une entreprise, il est important de chercher en ligne des informations sur ces interlocuteurs. En outre, la CNIL promet de rester à l’écoute sur sa ligne dédiée (01 53 73 22 22).

Isabelle Falque-Pierrotin rappelle quant à elle qu’il faut stopper ce marketing de la peur autour du RGPD. La CNIL a déjà délivré 60 labels, gages de confiance, mais veut aller plus loin. Elle développe des référentiels de certification pour permettre à des acteurs privés de certifier les produits à notre place. Le premier sera consacré au DPO et devrait être disponible à l’automne prochain.

Pour en savoir plus : http://blog.clubfunding.fr/rgpd-des-controles-et-sanctions-des-le-25-mai