Pouvez-vous nous rappeler ce que prévoit la nouvelle réglementation européenne en matière de protection des données personnelles et sa date d’entrée en vigueur ?
Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, qui sera applicable à compter du 25 mai 2018, soit deux ans après son entrée en vigueur, n’opère pas de réel changement sur le plan des principes : collecte loyale et licite pour des finalités déterminées, consentement et information des personnes concernées, rappel des droits… En revanche, il apporte un grand nombre de précisions sur la mise en œuvre de certains de ces principes, précisions qui imposent des obligations nouvelles. En pratique, cela revêt un réel impact pour les entreprises responsables de traitement. Actuellement, ces dernières doivent par exemple informer les personnes sur la collecte de données les concernant et fournir un certain nombre d’informations. Après l’entrée en vigueur du règlement, elles devront fournir davantage d’informations et, obligation supplémentaire, s’assurer que ces informations sont concises, intelligibles, bien comprises… Les entreprises vont donc devoir retravailler les mentions CNIL des formulaires de collecte.
La tâche est-elle si importante ?
Cela dépend de la taille de l’entreprise et de l'activité des entreprises. Certaines pourront s’acquitter facilement de ces nouvelles obligations après vérification et adaptation des mentions de sites internet ou/et de formulaires. En revanche, pour les entreprises qui gèrent beaucoup de données différentes avec des finalités et des traitements différents, ces obligations supplémentaires pourront avoir un impact non négligeable. Lorsque, en ma qualité de conseil, j’insiste auprès de mes clients sur la nécessité d’indiquer telle ou telle mention dans un formulaire de collecte, la réponse est invariablement la même : « Nous n’avons pas suffisamment de place ! ». Ces futures obligations vont non seulement imposer de dégager de l’espace, mais aussi de produire de l’information claire et intelligible. Les entreprises qui par le passé comptaient les lettres pour faire entrer les mentions obligatoires dans le champ dédié, quitte à perdre en clarté, vont devoir faire un gros effort d’adaptation.
Les entreprises sont-elles d’ores et déjà prêtes ?
D’après ce que je peux en juger, il est clair que les chantiers ne sont pas encore lancés. Les grands groupes structurés s’y mettent, la majorité des PME pas encore.
Que doivent faire les entreprises pour être en conformité le moment venu ?
Le règlement impose une double action. La première : se mettre en conformité pour l’existant. Cela passe par un audit des traitements de l’entreprise afin de vérifier que tout est conforme en termes de mention et de gestion, que les clauses dans les contrats sont correctes et que les process répondent aux nouvelles obligations du règlement. Pour certaines entreprises, cela passera nécessairement par des développements informatiques. Prenons par exemple la portabilité des données-personnelles. Ce mécanisme mis en place par le règlement permet à une personne de récupérer les données communiquées à une entreprise pour les conserver ou les communiquer à une autre. Prix à payer : les entreprises doivent se doter d’outils d’extraction. Une grosse société qui s’expose à la multiplication des demandes de portabilité devra donc automatiser l’extraction et par conséquent adapter son système d’information.
Qu’en est-il de la seconde action ?
Les entreprises doivent préparer l’avenir. Le règlement inverse la logique existante en matière de protection des données. Actuellement, respecter la réglementation consiste à opérer une déclaration dans le respect des grands principes. En pratique, lorsqu’une entreprise met un projet en œuvre, elle le déploie et, en fin de projet, elle s’interroge sur ce qu’il convient de faire pour se mettre en conformité avec la réglementation. Demain, il faudra gérer la question de la conformité en amont et l’intégrer en porte d’entrée du projet, si bien qu’elle va devenir un véritable enjeu de celui-ci. En outre, chaque entreprise devra conserver des traces de son travail sur le sujet pour être à même, en cas de besoin, de démontrer que tel ou tel traitement a bien été mis en œuvre dès les phases préparatoires du projet et, par conséquent, qu’elle a bien respecté le règlement.
A défaut, à quelles sanctions les entreprises s’exposeront-elles ?
Aujourd’hui, les amendes prévues sont très élevées, le contrevenant encourt jusqu’à 300 000 € et de 3 à 5 ans d’emprisonnement selon les infractions. Demain, l’amende ira jusqu’à 10 ou 20 millions d’euros, ou encore équivaudra à un pourcentage du chiffre d’affaires. Ce qui est considérable. Toutefois, qu’il s’agisse du présent ou du futur ces sanctions sont des sanctions maximales, ce qui signifie en pratique qu’il existe toujours une possibilité de modulation.
L’existence de sanctions maximales élevées a bien entendu pour objectif d’être incitatif et d’encourager les entreprises à se conformer à la réglementation. Dans les faits, la CNIL n’a cependant pas la possibilité d’appliquer de telles sanctions qui sont donc théoriques. Pour s’en convaincre, il suffit de regarder le caractère dérisoire des sanctions appliquées jusqu’alors. Reste que le risque persiste et que si, demain, la CNIL venait à disposer des moyens nécessaires à la mise en œuvre de la politique des données personnelles ou si elle décidait de faire un exemple, il serait regrettable pour une entreprise d’avoir à en faire les frais !
Propos recueillis par Laurent MONTANT
Jérémie Courtois, avocat cabinet Cornet Vincent Segurel