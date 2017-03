La Commission nationale de l'informatique et des libertés (Cnil) appelle administrations et entreprises à se préparer sans attendre au nouveau règlement européen sur la protection des données personnelles, qui entrera en vigueur le 25 mai 2018.

"Ce règlement ne souffre pas de retard. En mai 2018, la Cnil, les acteurs publics et privés devront être prêts pour le mettre en oeuvre opérationnellement", a déclaré lundi Isabelle Falque-Pierrotin, la présidente de l'institution.

"Pour les entreprises, la marche à monter est réelle", a reconnu la responsable qui présentait son rapport 2016, citant une étude récente selon laquelle moins de 10% d'entre elles pensent être prêtes à temps.

Texte de référence adopté en avril 2016 pour remplacer une directive de 1995, le règlement européen sur la protection des données personnelles (RGPD) renforce l'obligation des organismes publics et privés de protéger les données personnelles de leurs utilisateurs et clients.

Unifiant les règles en la matière au niveau européen, le texte allège les contrôles a priori du régulateur, mais y substitue une plus grande responsabilisation des administrations et entreprises qui devront se douter d'outils nouveaux, et notamment nommer des délégués à la protection des données (DPO).

Elles devront en effet prendre toutes les mesures nécessaires au respect de la protection des données personnelles, dès la conception de leurs produits et services, et par défaut. Elles devront aussi pouvoir prouver que les données à caractère personnel qu'elle détiennent sont bien protégées, et prévenir les intéressés lorsque leurs données seront dérobées.

Le règlement envisage également la territorialité du droit européen de la protection des données autour de la personne. Il s'applique en particulier aux sociétés non-européennes qui ciblent des citoyens européens.

Le texte prévoit aussi une forte augmentation des amendes possibles en cas de non respect des règles, jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires des contrevenants.

- Une loi avant l'été -

"Le message numéro un que nous souhaitons passer aux entreprises, mais aussi aux acteurs publics (...), c'est qu'il faut absolument qu'ils se mettent en marche pour être prêts sur le règlement européen", a indiqué Mme Falque Pierrotin lundi, précisant que la Cnil avait mis en place "des outils pour les aider".

"C'est un message d'alerte à destination des acteurs, tenez-vous prêts!", a-t-elle lancé.

"Pour être prêts, il faut que le régulateur soit prêt", a-t-elle ajouté, rappelant qu'une nouvelle Loi informatique et liberté "qui raboute en quelque sorte le texte européen aux dispositions utiles nationales" devra être adoptée d'ici mai 2018.

"Le règlement (européen) ne prévoit pas tout: sur un certain nombre de points, il prévoit des renvois à un texte national, notamment en matière de procédures de sanction", et la loi de 1978 doit donc être revue, a expliqué la responsable.

Un texte devra être déposé en Conseil des ministres "probablement avant l'été" si l'on doit tenir les délais, a indiqué Isabelle Falque-Pierrotin. C'est "un exercice qui risque d'être un tout petit peu difficile" compte tenu des échéances électorales, a-t-elle reconnu.

La présidente de la Cnil a également réclamé davantage de moyens ces trois prochaines années "pour être professionnel(le) et répondre aux nouveaux enjeux qui sont ceux du règlement" européen.

La Commission nationale de l'informatique et des libertés, a-t-elle rappelé, joue un quadruple rôle de conseil aux administrations, d'accompagnement des entreprises, de contrôle de la sécurisation des données et --ce pour quoi elle est plus connue-- d'assistance aux particuliers qui peuvent porter plainte devant elle s'ils pensent, par exemple, que leur réputation est mise en cause sur la Toile ou que leurs données ont été utilisées sans leur consentement.

La Cnil a enregistré en 2016 7.703 plaintes (un peu moins que le record de 2015, 7.900 cas), dont un tiers concernaient la diffusion de données personnelles sur internet et un tiers des abus dans l'utilisation des données à des fins de prospection commerciale.