Selon Christophe Buschmann, commissionnaire de la CNPD, la plupart des entreprises luxembourgeoises ont entamé une démarche de mise en conformité mais sans être prêtes à 100%. (Photo: Licence C.C.)

Selon Christophe Buschmann, commissionnaire de la CNPD, la plupart des entreprises luxembourgeoises ont entamé une démarche de mise en conformité mais sans être prêtes à 100%. (Photo: Licence C.C.)

Monsieur Buschmann, si ce 25 mai 2018 est symbolique, car la date marque l’entrée en vigueur du RGPD, bon nombre d’entreprises ne sont pas encore à 100% conformes et votre institution comptait, selon les derniers chiffres officiels, 25 personnes. Comment mener à bien cette nouvelle mission dans ces conditions?

«Notre mission est de faire des contrôles et donc nous allons les mener. Et dès le début. Je ne dis pas qu’à partir de ce 25 mai nous allons effectuer 300 opérations, mais nous allons vivre dans ce nouveau référentiel à partir de cette date. Par ailleurs, la CNPD emploie désormais 32 personnes et nous continuons à recruter.

Dans quelle philosophie la CNPD va-t-elle se placer pour cette mission de contrôle de bonne conformité? Allez-vous opter pour un volet d’accompagnement des entreprises qui ne sont pas encore prêtes et/ou un volet répressif?

«Nous allons mener de front les deux approches. Il faut d’abord préciser que très souvent il est question d’une période de transition à partir de ce 25 mai. Or, cette période de deux ans vient de s’achever puisqu’elle s’étalait entre 2016 et 2018. Ceci dit, le principe du texte, à savoir la protection des données, existait bien avant le RGPD puisque cela correspond à une loi de 2002 au Luxembourg.

Raison pour laquelle nous ne voyons pas pourquoi nous ne pourrions pas appliquer tel quel le nouveau texte, car il n’y a rien de nouveau à proprement parler. La nouveauté tient dans les éléments qui sont introduits et qui ne sont peut-être pas très clairs ou que les entreprises ont peut-être du mal à parfaitement implémenter. Nous allons donc tenir compte de cela. Les contrôles qui seront effectués sur ces nouveaux éléments veilleront à voir la manière dont ils ont été mis en place dans les entreprises et cela nous servira à nous donner un input sur les éventuelles difficultés rencontrées.

Des contrôles réalisés sur des critères objectifs.

Christophe Buschmann, commissionnaire de la CNPD

Pour la première fois, la CNPD aura un rôle proactif et pourra choisir les cibles qu’elle souhaite contrôler et ne plus uniquement réagir aux plaintes reçues…

«Nous appliquerons effectivement les deux approches. Pour le volet proactif, nous pourrons effectuer des contrôles pour nous faire une image de ce qui se passe sur le terrain, notamment sur une thématique précise, comme le rôle du DPO (délégué à la protection des données, ndlr), sur une sélection d’entreprises pour lequel le sujet du contrôle est pertinent et dont on peut imaginer que le nombre peut aller jusqu’à 25. L’échantillonnage se fera en fonction du sujet et concernera des entreprises pour lesquelles le sujet choisi est pertinent. C’est ce que nous appelons des campagnes d’audit.

Sur quels critères les enquêtes effectuées par la CNPD se baseront-elles?

«Cela dépendra des thématiques abordées. Cela sera du sur-mesure. Si on prend l’exemple de la notion de transparence ou de notice d’information, cela concernera les entreprises qui sont en contact avec beaucoup de personnes. Pour la question du profilage, les critères reposeront moins sur le nombre de personnes que sur le niveau d’intrusion du profilage effectué. Dans tous les cas, ce seront des critères objectifs.

Nous avons listé cinq types de situations pour les entreprises.

Christophe Buschmann, commissionnaire de la CNPD

Il existe une différence entre les grandes entreprises et les PME en ce qui concerne la mise en conformité. Une tolérance sera-t-elle appliquée pour les plus petites structures ou les critères sont-ils les mêmes pour tous?

«Dans l’hypothèse qu’une petite entreprise expose moins ses clients au risque de fuite de leurs données personnelles, cette réalité est bien évidemment prise en compte. À l’inverse, plus une entreprise traite avec des données à risque ou en grande quantité, plus haut sera notre niveau d’attente par rapport aux mesures implémentées. Il faut aussi comprendre que la conformité est un travail en continu qui ne s’arrête jamais. La question est plutôt de savoir si les entreprises se situent à un niveau suffisant ou non. Tout n’est donc pas noir ou blanc.

Au vu de ce que nous venez de dire, quels sont les grands cas de figure auxquels vous pensez être confronté dans les semaines et mois à venir?

«Nous avons listé cinq types de situations, allant de l’entreprise ‘parfaitement conforme’ à celle qui ‘espère ne pas être contrôlée’ en passant par celle qui ‘est concernée, mais pas prête’. À chaque fois, nous émettons des recommandations, comme le partage d’expérience des plus avancées ou le fait d’être honnête sur ce que chaque entreprise peut assurer, car la conformité ne s’achète pas aussi facilement que certains l’affirment. Je pense qu’une bonne partie des entreprises au Luxembourg se situe dans la catégorie ‘je suis dans une démarche, mais probablement pas prêt’. Dans ce cas de figure, je recommande d’éviter de rester bloqué sur des détails si l’entreprise a des choses plus importantes à régler avant.

Au final, quel conseil donneriez-vous à ces entreprises en cours d’implémentation?

«Qu’elles se laissent guider par l’esprit, les concepts de base du RGPD, à savoir la transparence, le contrôle sur les données et non par la crainte de sanction. Donc bien comprendre l’idée de base du texte et suivre cette idée plutôt que d’entamer des démarches dans le seul but d’éviter les mises à l’amende. Nous lancerons d’ailleurs une campagne de sensibilisation dans les prochaines semaines pour aborder cette question.»

Articles Associés