Après avoir représenté la Chambre de Commerce Internationale (ICC) lors d’une audition le 18 janvier 2018, devant la Commission des Lois de l’Assemblée nationale, Stéphanie Faber a accompagné Florian Banciu, policy manager de la CCI France, et Sophie Tomlinson, assistant policy manager de la Commission « économie numérique » de la CCI,  lors d’une audition devant Mme Sophie Joissains, rapporteure de la Commission des Lois du Sénat, le 15 février, dans le cadre de l’examen du projet de loi relatif à la protection des données personnelles.

À l’occasion de chacune de ces auditions, Stéphanie Faber a préparé un document faisant la revue d’un certain nombre d’articles conservés pour l’instant (tels quels ou modifiés) dans la Loi Informatique et Libertés et qui, de ce fait, soulèvent de graves problème d’intelligibilité de la règlementation basée sur le Règlement Général sur la Protection des Données (RGPD).

Le projet de loi dans son article 20 prévoit que le Gouvernement procède aux « corrections formelles » et « adaptations nécessaires » dans les 6 mois de la publication de la loi (donc au moins 6 mois après l’entrée en vigueur du RGPD).

Ce décalage est particulièrement dommageable dans la mesure où il ne s’agit pas d’une simple réglementation reposant sur des principes de base et une éthique, mais d’un texte de « compliance » / « conformité ». À savoir, qu’il est nécessaire pour les entreprises de procéder, notamment, à l’inventaire de leur traitements de données personnelles, de choisir la condition de licéité la plus adaptée à leur traitement, surtout pour les données dites « sensibles », de fournir aux personnes concernées l’ensemble des informations obligatoires (plus nombreuses et détaillées que précédemment), de renseigner de tout nouveaux « registres d’activités de traitement », de changer des processus, y compris pour rendre possible l’exercice des différents droits des personnes concernées, de nommer un Délégué à la Protection des Données, de faire modifier les contrats avec les sous-traitants, de mettre en place un plan de gestion des violations de données personnelles (pour toutes les entreprises, et pas seulement celles relevant du domaine des communications électroniques…), de procéder à des analyses d’impact relatives à la protection des données. Or, quasiment rien de tout cela ne peut se comprendre à la lecture du texte français, qu’il faudra pourtant lire, en raison des dérogations au RGPD qui y ont été apportées. Comment les PME ou les entreprises qui commencent tout juste à s’intéresser sérieusement au sujet, pourront-elles séparer le bon grain de l’ivraie ? Si c’est facile, pourquoi attendre encore (au moins) 6 mois ? L’urgence résulte du fait que le RGPD prend effet le 25 mai 2018 et ce dans l’ensemble de l’UE.  Contact : stephanie.faber@squirepb.com