Question de Mme de CIDRAC Marta (Yvelines - Les Républicains) publiée le 19/04/2018

Mme Marta de Cidrac attire l'attention de Mme la garde des sceaux, ministre de la justice sur la mise en application du règlement général sur la protection des données personnelles (RGPD) pour les petites et moyennes entreprises (PME) et les entreprises de taille intermédiaire (ETI).

Le RGPD doit prendre effet le 25 mai 2018. Il était indispensable de remplacer la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, qui ne tenait pas compte des évolutions numériques.

Ce texte est un bon équilibre entre respect des données personnelles des citoyens et l'utilisation de celles-ci par les entreprises.

Ces évolutions s'appliquent à toutes les entreprises, associations et administrations qui traitent des données à caractère personnel. Si le respect du RGPD est obligatoire pour celles-ci, le texte prévoit un allégement des obligations pour les structures de moins de 250 salariés.

Cette différenciation est positive pour les petites et moyennes structures mais il convient d'ores et déjà de réfléchir à certains dispositifs d'aide à leur attention.

En effet, l'inquiétude grandit chez certaines PME et ETI, en particulier concernant l'obligation d'avoir un délégué à la protection des données (DPD) ou « data protection officer », en anglais (DPO). La confédération de l'artisanat et des petites entreprises du bâtiment (CAPEB) d'Île-de-France lui a par exemple fait part d'une certaine inquiétude dans les rangs de leurs adhérents face à cette nouvelle obligation.

Ainsi, elle lui demande quelles mesures le Gouvernement envisage pour aider ces structures.

- page 1869


Réponse du Ministère de la justice publiée le 06/09/2018

Le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données comporte plusieurs dispositions pour tenir compte de la situation des petites et moyennes entreprises (PME) et des entreprises de taille intermédiaire (ETI). Comme le rappelle son considérant 13, le règlement prévoit « (…) une dérogation pour les organisations occupant moins de 250 employés en ce qui concerne la tenue de registres ». Ainsi, en vertu du 5 de l'article 30 du règlement, les entreprises de moins de 250 salariés ne sont pas soumises, sauf exceptions liées à la nature du traitement ou des données traitées, à l'obligation de tenir un registre des activités de traitement. Le considérant 13 du règlement prévoit, par ailleurs, que : « Les institutions et organes de l'Union, et les États membres et leurs autorités de contrôle sont en outre encouragés à prendre en considération les besoins spécifiques des micro, petites et moyennes entreprises dans le cadre de l'application du présent règlement ». Dans ce cadre, la loi n°  2018-493 du 20 juin 2018 relative à la protection des données personnelles qui a assuré la mise en conformité de la loi n°  78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés avec le règlement général de protection des données a confié de nouvelles missions à la Commission nationale de l'informatique et des libertés (CNIL) : d'une part, le 1° de l'article 11 de la loi du 6 janvier 1978 permet à la CNIL d'« apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises » quant à leurs droits et leurs obligations en tant que responsables de traitement ; d'autre part, afin de « faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et [de] procéder à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants », le a bis) du même article prévoit que la CNIL encourage l'élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement, compte tenu notamment des besoins spécifiques des micro-entreprises, petites entreprises et moyennes entreprises. Ces codes de conduite peuvent donc être portés par des fédérations ou confédérations, comme celle évoquée dans la question, en application de cet article et de l'article 40 du règlement général, dont le premier paragraphe précise, là encore, qu'il s'applique « compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises ». Enfin, la CNIL, dans le cadre de sa mission de certification, doit également prendre en considération, les besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes entreprises (art. 11 2° f bis). Concernant plus spécifiquement la désignation d'un délégué à la protection des données prévue à l'article 37 du règlement général, celle-ci ne constitue pas une obligation pour toute les PME ou les ETI, mais dépend de la nature des activités du responsable du traitement. De plus, plusieurs responsables de traitement peuvent décider de mutualiser cette fonction, en désignant un seul délégué à la protection des données exerçant sa mission pour le compte de plusieurs d'entre eux, comme le rappelle l'article 19 du décret n°  2018-687 du 1er août 2018 pris pour l'application de la loi du 6 janvier 1978. Indépendamment des dispositions prévues par le règlement général ou le droit national en direction des PME et des ETI, la CNIL a conduit plusieurs actions en faveur de ces dernières, dès l'adoption du règlement général en avril 2016, pour les accompagner dans la mise en œuvre de leurs nouvelles obligations applicables depuis le 25 mai 2018. Ainsi, la CNIL et la Banque Publique d'Investissement (Bpifrance) se sont associées en créant un « Guide pratique de sensibilisation pour les petites et moyennes entreprises » publié sur leurs sites respectifs. De même, afin d'aider ces structures dans la mise en place de mesures de sécurité adaptées, obligation prévue à l'article 32 du règlement général, il convient également de mentionner la mise en place, dès 2017, de la plateforme d'assistance et de prévention du risque numérique (cybermalveillance.gouv.fr) qui s'adresse notamment aux particuliers et aux entreprises (PME/ETI) en mettant en relation les victimes de cybermalveillance avec des prestataires de proximité, compétents et présents sur l'ensemble du territoire national.

- page 4595

Page mise à jour le