Entreprise non-conforme au RGPD après le 25 mai 2018 ?

C’est fait, depuis le 25 mai dernier, le nouveau règlement sur la protection des données (RGPD) est pleinement entré en vigueur. Il vient changer en profondeur la manière dont les organisations vont gérer les données des personnes avec qui elles interagissent (client, prospects, employés, partenaires…). Si vous avez réussi à vous conformer à la nouvelle règlementation avant le 25 mai, vous vous mettez à l’abri des sanctions relativement sévères prévues. Sinon, pas de panique. Il n’est pas encore trop tard ! Mais il faut agir rapidement. D’ici peu, la conformité avec le RGPD constituera la preuve du sérieux de l’entreprise.

En principe, vous serez sanctionné si vous n’êtes conformité après le 25 mai…

Le 25 mai est passé et vous n’avez pas encore terminé votre mise en conformité ? Sachez que vous êtes maintenant amendable. Et votre situation est pire si vous venez à peine de commencer votre processus de mise en conformité. Pour rappel, le RGPD est « obligatoire dans tous ses éléments et directement applicable dans tout État membre » de l’UE. Et puisqu’il s’agit en réalité d’un règlement, sa mise en application ne nécessite aucune législation de transposition.

…SAUF si vous êtes de bonne foi

Avouons-le, le RGPD est difficile d’application. Il impose de nombreuses obligations amenant les entreprises à revoir en profondeur leur organisation surtout au niveau du traitement des données. C’est en partie pour cette raison que les autorités ont donnée beaucoup de temps (2 ans) aux entreprises pour s’y préparer.

S’il est vrai que vous pouvez être sanctionné en raison de votre non-conformité au RGPD après le 25 mai, la CNIL peut cependant ne pas prononcer des actions à votre encontre. Ce sera le cas si :

Vous réussissez à prouver que vous avez entamé les démarches nécessaires de mise en conformité : suivi d’une formation au RGPD, désignation d’un DPO, établissement du registre des traitements, mise en place de mesures correctives pour optimiser la protection des données, élaboration d’un plan d’actions… ;
Vous prenez au sérieux les défaillances de l’organisation juridique et technique de votre entreprise en matière de protection des données ;
…

Bref, vous montrez votre bonne foi et votre bonne volonté à vous conformer au RGPD. Tout cela joue en votre faveur auprès de la CNIL et favorise la diminution des risques de sanctions. Cependant, vous n’aurez droit à cette « faveur » que si vous ne faites aucune ‘victime’ en cas de fuite de données.

La conformité, un but vers lequel il faut tendre

L’une des plus grandes particularités du RGPD c’est qu’il met en avant la responsabilisation de l’entreprise. Il a également été conçu de manière à s’adapter à l’apparition de nouvelles technologies et de nouvelles pratiques. Dans une certaine mesure, il fait de la conformité un but vers lequel il faut tendre. Il oblige à revoir régulièrement l’organisation des mesures de protection des données. En quelque sorte, une démarche ‘qualité’.