Un an après l’entrée en vigueur du RGPD, le secrétaire général de la Commission nationale informatique et libertés (Cnil), Jean Lessi, rappelle que le régulateur français conserve sa ligne de conduite qui était la sienne avant même l’adoption du règlement. La politique d’accompagnement à la mise en conformité n’empêche pas que des sanctions puissent être prononcées en cas de manquement le justifiant.
Jean Lessi (Cnil) : « La Cnil continue d’accompagner, de contrôler et de sanctionner »
DÉCIDEURS. Les grandes entreprises craignent-elles moins les sanctions que les entreprises plus petites, qui ne disposent pas forcément de délégué à la protection des données ?
Jean lessi. Il est certain que le délégué constitue un atout majeur pour comprendre et respecter les obligations du RGPD, dialoguer avec les autorités de protection des données et réduire les risques de contentieux. Cependant, sa désignation ne dépend pas de la taille de l’entreprise car les plus petits organismes d’un même secteur peuvent mutualiser cette fonction et ainsi disposer des outils nécessaires pour respecter le cadre légal en matière de protection des données personnelles. Dans les grandes entreprises, où le traitement des données présente plus de risques, le délégué ne peut pas porter à lui seul la politique de conformité s’il n’est pas accompagné d’une gouvernance globale pertinente et de moyens adaptés.
Quels risques sont induits par une non-conformité, au-delà de l’amende financière ?
La confiance est centrale dans l’univers numérique. Quand elle s’érode, les incidences sur l’image et le modèle économique sont certaines. Les récents scandales touchant de grands acteurs internationaux en sont la preuve, en matière de réputation. Les citoyens aspirent à voir leurs données personnelles collectées et exploitées de façon transparente et pour des usages qu’ils acceptent. Un sondage Ifop réalisé en octobre pour la Cnil a révélé que 66 % d’entre eux se disent plus sensibles que ces dernières années à la protection de leurs données personnelles. Cette aspiration à la maîtrise et à la transparence est la donnée de base de l’économie numérique, qu’aucune entreprise ne peut plus ignorer. Les entreprises doivent s’efforcer de considérer la régulation comme un atout de distinction sur le marché.
Certains experts voient l’année 2019 comme celle du passage à l’action des régulateurs pour sanctionner les entreprises non conformes au RGPD. La Cnil va-t-elle poursuivre sa démarche de prévention ou passer à davantage de répression ?
La Cnil ne quittera certainement pas sa logique d’accompagnement des professionnels dans leur mise en conformité. Cette mission, sans laquelle les droits des internautes seraient sans doute moins bien protégés, est inhérente à son activité, au même titre que les contrôles et les sanctions, sans lesquelles les règles ne seraient pas crédibles. Et ce constat vaut autant en 2019 que pour les années précédentes. Concernant l’aspect répressif, rappelons que les principes fondamentaux de la protection des données qui existent depuis 1978 ont été confirmés par le RGPD. Ils font donc l’objet de vérifications rigoureuses par la Cnil. La formation restreinte de la Cnil, qui a prononcé une amende de 50 millions d’euros en application du RGPD à l’encontre de Google en janvier dernier, témoigne bien de cette volonté de fermeté lorsque les manquements le justifient. En 2019, la Cnil articulera donc toujours son action autour de deux axes centraux : la pédagogie et la dissuasion.
Propos recueillis par Marine Calvo (@marine_clv)
