RGPD, soyons calmes et pragmatiques !


Publié le 11 juillet 2018


La date de mise en conformité au RGPD est dépassée depuis le 25 mai. Mais la CNIL n’a pas attendu cette date pour sanctionner les entreprises et associations qui semblent très « inconséquentes » à propos des données confiées par ses clients et/ou adhérents. Pour preuve, depuis le 25 mai, la CNIL a appliqué deux sanctions sur des dossiers antérieurs à l’encontre de l’Association pour le Développement des Foyers (ADEF) et d’OPTICAL CENTER : dans ces deux cas, le motif a porté sur l’atteinte à la sécurité des données des clients du site internet.


La CNIL n’a donc pas attendu la mise en œuvre du RGPD pour « veiller au grain » en terme de sécurité des données.


Heureusement car les entreprises n’ont pas forcément encore réalisé cette mise en conformité : le Mag-IT titrait à la mi-mai, en se fondant sur les publications de différents instituts d’études aux Etats-Unis et en Europe, que les chantiers sur le RGPD ne faisaient que commencer.


De mon point de vue, tout ce qui concerne le RGPD, relève de notions de « savoir-vivre » et d’un minimum de pragmatisme. On a très largement exagéré les mises en garde puisque la France est bien préparée. La France ne part pas « de rien » car il y a bien une Loi Informatique et Liberté qui existe depuis 40 ans et une CNIL pour veiller à son application !


Alors, le RGPD permet de refaire l’inventaire de sa propre situation et de l’améliorer, mais cela se résume à 2 questions principales :


  • est-ce que sur mon site web, on peut constater que le B-A BA a bien été fait, à savoir les mentions qui rassurent l’internaute sur l’utilisation faite de ses données personnelles ? Est ce que la publication de ces mentions « rassurantes » est bien suivie d’effets réels ?
  • est-ce que la sécurité des données est effectivement assurée ? Le stockage, les éventuels traitements, les transferts de données tant en amont qu’en aval, sont-ils sécurisés ? Les données elles-mêmes sont elles cryptées ?


N’est-ce pas faire preuve d’un minimum de « savoir-vivre » que de protéger « un tant soit peu » les données personnelles confiées par les consommateurs, que d’avertir des utilisations qui en seront faites, que de les supprimer dans un délai compatible avec leur finalité … ?


En synthèse, on peut affirmer que le RGPD n’est pas arrivé dans un contexte totalement vierge en France, avec la CNIL qui veille depuis 1978 sur la protection des données personnelles. Autant dire que cette réglementation européenne a trouvé un terrain préparé dans notre hexagone.


Par contre, parler du RGPD, ce n’est sûrement pas inquiéter les auditoires et souffler un vent de panique pour monétiser (drôle de coïncidence …) des prestations de conseil par exemple. 


Depuis le 25 mai, la pression des directions juridiques se fait sentir. Le juriste veut tout border, dans tous les cas de figure, dans toutes les actions où il y a potentiellement un risque. Mais attention, à trop vouloir border, on en vient à nourrir l’immobilisme ! Si, en 1974, le président Giscard d’Estaing n’a pas confié au ministère de la Justice le soin de porter une loi hautement polémique sur la dépénalisation de l'interruption volontaire de grossesse, c’est pour que Simone Veil, ministre de la santé à l’époque, puisse la faire réellement aboutir.


L’un de mes clients m’a confié que, dans ce contexte d’inquiétude et sous la pression de sa Direction Juridique, il s’est vu obligé d’en passer par l’opt-in pour démarcher des entrepreneurs indépendants alors que l’opt-out suffit amplement en B2B ! Quelle lourdeur gratuite …


Dans le même état d’esprit, on va jusqu’à imaginer l’opt-in dans le domaine de la prospection téléphonique, voire la prospection tout court : comment voulez-vous obtenir l’autorisation d’une personne que l’on ne connaît pas encore ?


Ne trouvez-vous pas que ce juridisme à outrance atteint ses limites ? Qu’en pensez-vous ?