Pourquoi ne faut-il pas avoir (trop) peur des sanctions financières en cas de non respect.

Actuellement, quand on parle de GDPR en entreprise(ou de RGDP, dans sa version francisée) , ce qui ressort souvent, c’est l’inquiétude à propos du montant des pénalités en cas de non respect.

Des sanctions aux sommes importantes

En effet, celles-ci s’élèvent, pour une entreprise, à un montant de 2% à 4% du chiffre d’affaire mondial de l’entreprise, ou 20 millions d’euros. De quoi inquiéter pas mal de chefs d’entreprises et de DAF ! Une somme très dissuasive envie de respecter ce règlement, même si on ne sait pas de quoi il parle.

La date du 25 mai 2018 est une date commune. Les pays appartenant à l’Union Européenne ont depuis 1995 le même niveau de protection des données personnelles. Le nouveau règlement va plus loin, en demandant aux entreprises de se montrer plus vigilantes concernant ces données. Et comme il s’agit d’un règlement (et non d’une directive, comme la précédente norme), il est applicable directement aux pays membres, à la date fixée. En bref, aucune chance que la date soit repoussée. Aucune.

Cependant, même si cette date est fixée et ne bougera plus, cela ne veut pas dire que vous serez sanctionné immédiatement parce que vous n’êtes pas déjà en règle. La CNIL (et plus globalement, l’Etat) est parfaitement consciente que le délai d’application est extrêmement court, et que beaucoup de petites entreprises auront du mal à tenir les délais.
Seules les grandes entreprises pourraient, dans un premier temps, subir ces sanctions. Pour 2 raisons simples :
– Ces entreprises ont très souvent déjà nommé un CIL ou un DPO,
– Certaines entreprises sont déjà sanctionnées en cas de manquement à la sécurité des données personnelles. C’est le cas de Darty, qui a reçu une amende de la CNIL le mois dernier

Pourquoi le risque de sanctions pour une petite entreprise sera minime?

Comme indiqué plus haut, si certaines entreprises sont supposées être déjà prêtes, tout comme les administrations, ce n’est pas le cas de la majorité des autres acteurs économiques. Et dans ce cas, la règle est le plus souvent à la tolérance, d’autant plus en cas de bonne foi.
Quelques exemples : le report du prélèvement des impôts à la source, de janvier 2018 à janvier 2019. Et ce report a pour raison le report d’un an, pour les entreprises, de passer à la DSN phase 3. Initialement prévue pour janvier 2016, le passage à la DSN a été reporté à mi-2016 et même plus tard pour certaines caisses. Cette règlementation a été compliquée pour bon nombre de gestionnaire de paie, mais c’était une étape obligatoire pour mettre en place le prélèvement à la source.
Autre exemple : la loi anti-fraude pour les logiciels de caisse, mise en place en janvier 2018. D’abord annoncée pour tous les logiciels utilisés pour effectuer de la facturation, elle a rapidement été restreinte dans un premier temps aux logiciels de caisse, compte tenu de la difficulté des différents éditeurs logiciels à être prêts à la date donnée. Et jusqu’en juin, le fait de ne pas être en conformité est toléré sous conditions.

Par ailleurs, il y a quelques jours, la présidente de la CNIL elle-même a annoncé aux médias que, dans un premier temps, la CNIL allait accompagner les entreprises pose mettre en conformité

Il y a donc de fortes chances que, tout comme ces règlementations récentes, l’application de la GDPR pour les TPE/PME soit également assouplie. Et que tant que ces entreprises arrivent à démontrer qu’elles ont commencé le processus pour se mettre en conformité, il est fortement improbable qu’elles soient sanctionnées immédiatement.

Le DPO, votre meilleur allié

Cela laisse un peu plus de temps pour se mettre en conformité. Le premier pas, c’est de trouver la bonne personne pour gérer cette mise en conformité, votre futur délégué à la protection des données. Ce n’est pas une obligation pour les entreprises de moins de 250 salariés; mais il vaut mieux tout de même en avoir un, pour être garant de votre conformité  au règlement

Et attention à ne pas prendre cette décision à la légère; il doit obligatoirement s’agir d’une personne de confiance. En effet, n’oubliez pas que, si aujourd’hui les sanctions ne vous sont pas applicables, ça le sera dans quelques temps!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *