Le temps de l’indulgence face aux écarts éventuels qui ont pu être constatés vis-à-vis du règlement général sur la protection des données personnelles (RGPD) s’achève. Voilà le message qu’a voulu faire passer Marie-Laure Denis, la nouvelle présidente de la Commission nationale de l’informatique et des libertés (CNIL), alors qu’était remis le 15 avril son rapport d’activité pour 2018.
« C’est la fin d’une certaine forme de tolérance liée à la transition », a ainsi mis en garde la patronne de l’institution chargée de veiller à ce que l’informatique ne porte pas atteinte aux droits des personnes, citée par Acteurs Publics. Désormais, il faut s’attendre à ce que l’autorité administrative indépendante fasse preuve d’une bienveillance réduite en cas de manquements au RGPD.
Le texte a presque un an d’âge
Faut-il s’en étonner ? Le texte fêtera le 25 mai prochain sa première année d’activité. Il y a un an, la prédécesseure de Marie-Laure Denis, Isabelle Falque-Pierrotin, déclarait quelques jours avant l’entrée en application du RGPD que « dans notre politique répressive pragmatique, nous prendrons en compte les efforts et la bonne foi des uns et des autres ». Bref, pas question de tenir un « tableau de chasse ».
Pour 2019 et les années suivantes, il n’est pas non plus question d’aligner les fautifs. Mais alors que la pédagogie était privilégiée par rapport à la sanction, car il s’agissait alors d’accompagner toutes les entités (entreprises, administrations, collectivités, associations…) pour les responsabiliser et leur faire gagner en compétences, c’est désormais à un rééquilibrage auquel il faut s’attendre.
Crédibiliser le RGPD
Si la CNIL entend toujours faire preuve de discernement, comme elle l’explique en détaillant les enjeux à venir, elle doit hausser aussi le ton. C’est indispensable pour donner du poids à la protection des données personnelles et limiter et empêcher des dérives. « La crédibilité du RGPD repose aussi sur une politique de contrôles et de sanctions efficace », rappelle ainsi la CNIL.
Sera donc vérifié le plein respect des nouvelles obligations et des nouveaux droits issus du RGPD (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations). En cas de faute, des sanctions pourront alors être envisagées, mais en tenant compte de la gravité des faits, de l’activité et de la taille de l’organisme en cause, de sa bonne foi et de sa coopération..
C’est après ce travail que la CNIL déterminera la mesure correctrice la plus appropriée (clôture avec observations, mise en demeure, rappel à l’ordre, injonction sous astreinte, sanction pécuniaire). C’est ce qu’elle faisait déjà auparavant. Sauf que maintenant, les sociétés sont prévenues : « 2019 marque l’achèvement de cette phase de transition entre l’ancienne législation et le RGPD.»
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !