C‘est quand même quelque chose! Les entreprises doivent être prêtes, mais elles ne le sont certainement pas – ou en tout cas, certainement pas toutes. Et les autorités? Non, elles non plus ne sont pas prêtes. Quelqu’un pourrait-il l’expliquer, aimablement mais énergiquement, au secrétaire d’état Philippe De Backer? Les politiciens ne devraient pas se bercer d’illusions. Merci.
Les nombreux organismes, associations et PME sont-ils prêts? Certainement pas. Tout comme la plupart des délégués à la protection des données d’ailleurs, ils ne sont pas prêts! Et même aujourd’hui, il y a sans aucun doute beaucoup plus d’organismes que nous n’aimerions, qui disent “GDPR? Quoi”? Bref, dans l’ensemble, presque tout le monde doit admettre que son organisme n’est pas (ou pas encore) prêt.
Soupir … Mais alors, que signifie réellement ce 25 mai 2018? N’est-ce rien de plus qu’une simple ligne tracée dans le sable? Oui et non, pour donner une réponse typiquement belge.
Non, parce que …
Le 25 mai se termine la période de deux ans prévue par le GDPR pour permettre aux entreprises et aux organismes de se mettre en conformité avec le GDPR. En effet la loi elle-même est en vigueur depuis mai 2016. En d’autres termes, à partir du 25 mai, “GDPR is here, and it’s here to stay”.
La conformité au GDPR est désormais une obligation légale, avec toutes les conséquences possibles, y compris les amendes, les atteintes à la réputation, etc. Penser que le GDPR ne vous concerne pas, ou que vous pouvez reporter vos propres efforts à plus tard, n’est plus du tout de mise. Ne rien faire – ou pas assez – n’est plus une option. C’est la façon la plus rapide de se mettre vraiment dans le pétrin.
A partir du 25 mai, le marteau de la loi peut inexorablement frapper des sociétés et organismes qui ne sont pas en conformité avec le GDPR, même s’il est clairement indiqué que l’autorité de contrôle ne prendra pas immédiatement des mesures répressives.
Celui qui n’est pas prêt ferait mieux de travailler à la conformité au GDPR d’une manière sérieuse et bien documentée, avec une feuille de route claire pour la période à venir.
La période de grâce prend officiellement fin le 25 mai. A partir de ce moment, le jeu peut être joué durement. Ceux qui ne prennent pas le GDPR au sérieux, ou pas assez, sont avertis.
Pour le GDPR, le 25 mai n’est que le début d’un effort qui ne s’arrêtera jamais, pour rester conforme à la nouvelle loi sur la protection de la vie privée.
Oui, parce que …
Le 25 mai n’est-il rien de plus qu’une ligne dans le sable ? En fait, oui. Ne serait-ce que parce que même le cadre juridique n’est pas encore entièrement prêt. En bref, il est pratiquement impossible d’être incontestablement “prêt” pour le GDPR.
Plus important, le 25 mai n’est pas une date de fin, comme lors du problème de l’an 2000. Celui-ci avait une date fixe, à savoir le 1er janvier 2000, et une fois ce jour-là derrière vous, vous n’aviez plus à vous en préoccuper.
Pour le GDPR, le 25 mai n’est que le début d’un effort qui ne s’arrêtera jamais, pour rester conforme à la nouvelle loi sur la protection de la vie privée. C’est le début d’une histoire sans fin, dont le scénario peut et va changer au fil du temps.
Pensez, par exemple, au développement de nouvelles technologies, et à la façon dont les entreprises les mettent en place et doivent donc revoir leur conformité au GDPR. Pensez à de nouvelles notions et règles sociales et politiques, notamment pour parer aux plaintes (probablement) justifiées et aux revendications du monde des affaires. ‘Cela doit rester faisable’, dira-t-on en soupirant, et ‘la loi ne peut pas étrangler l’économie de l’information’ …
Il ne fait aucun doute que le GDPR sera en définitive révisé, à l’épreuve (ou au choc ?) de la réalité politique et économique à l’intérieur et à l’extérieur de l’Europe. Sans parler de législations à venir, comme le Règlement ePrivacy sur les communications électroniques, et la Directive NIS en matière d’infrastructures critiques.
Alors, prêt pour et avec le GDPR? Bien sûr que non! Jamais! Au mieux, vous pouvez maintenant essayer d’estimer votre niveau de conformité avec le GDPR, et évaluer vos plans pour la période à venir. Après quoi, nous recommencerons cet exercice le 25 mai 2019. Et encore. Et encore. Et …
Bienvenue dans une nouvelle ère. Où la vie privée est – enfin/à nouveau/quand même – prise au sérieux.
Photo: John Forson via Unsplash
