Les enjeux de la compliance RGPD peuvent parfois être perçus comme insurmontables pour les start-up ou les PME qui ont d’autres défis à relever.

La tentation de faire l’autruche est donc grande. C’est toutefois un mauvais calcul à long terme : les chantiers laissés en friche peuvent rapidement se révéler mortifères pour les entreprises dont l’activité repose pour une part importante sur le traitement de données, pour leur compte ou celui de clients (ex : développement de solutions logicielles, marketing,…). L’activité ou les produits n’ayant pas été pensés pour être conformes dès l’origine, il sera plus difficile d’intégrer le cadre règlementaire a posteriori et le développement de la société en sera freiné voire compromis.

En effet, si la CNIL, les personnes concernées ou très probablement les clients demandent des preuves de conformité, le retard risque d'être difficile à rattraper si rien n’a été fait en amont.

Or, la question de la gouvernance et de la protection des données devient incontournable.

Certaines PME espèrent que la CNIL tiendra compte de leur situation économique. La CNIL a pourtant balayé l’excuse de la viabilité économique dans sa décision condamnant l’éditeur du site Challenges.fr à une amende de 25.000 euros pour non respect de la réglementation sur les cookies, sanction confirmée par le Conseil d’Etat.

D’autres estiment que la CNIL cible avant tout les GAFAM. C’est faux, au vu de l’historique des sanctions. S’il est vrai que la sanction contre Google LLC de 50 millions d’euros a fait couler beaucoup d’encre, des sociétés de tailles hétérogènes ont pu faire l’objet de contrôles et de sanctions. La période de tolérance annoncée par la CNIL est désormais révolue, et toutes les entreprises sont concernées par la règlementation quelle que soit leur taille. La CNIL a par ailleurs énormément travaillé dans de nombreux documents pédagogiques à faciliter le travail de mise en conformité, ce qui réduit d’autant l’argument selon lequel la règlementation serait illisible.

Elle procède actuellement à de nombreux recrutements ce qui augure une augmentation des contrôles au cours des prochains mois.

Les spécialistes du droit des données personnelles et de la régulation semblent s'accorder sur un point : la mise en place de l'ensemble des obligations prévues par le RGPD, qui ne prévoit quasiment pas d'exceptions pour les petites structures, peut être lourde à mettre en œuvre (1).

En réalité, comme le souligne Ariane Mole dans son interview par la revue Expertises, les difficultés viennent également du double effort que les entreprises doivent fournir, pour le respect des nouvelles obligations du RGPD, mais également de celles prévues antérieurement par la loi informatique et libertés, trop souvent méconnues.

La solution repose pour partie sur les avocats, qui doivent faire preuve de pédagogie et proposer des programmes de conformité adaptés aux enjeux propres à chaque organisme.

(1) Interviews de Marie-Anne Frison-Roche et Ariane Mole dans les revues Expertises de décembre 2019 et janvier 2020 n°452 et 453.