4

Une attention particulière doit être accordée aux TPE et aux PME

< Rapport d'information >

Pour tenir compte de la situation particulière des petites et moyennes entreprises, le règlement ne comporte qu’une dérogation qui concerne les entreprises occupant moins de 250 employés qui sont dispensées de la tenue de registre de traitement. Le considérant 13 renvoie la prise en compte de la situation PME aux législations nationales : « les institutions et organes de l’Union, et les États membres et leurs autorités de contrôle sont en outre encouragés à prendre en considération les besoins spécifiques des micro, petites et moyennes entreprises dans le cadre de l’application du (…) règlement. »

Cependant, vos rapporteurs considèrent qu’une attention particulière devra être accordée aux petites et moyennes entreprises qui pourront, malgré cette dérogation, rencontrer des difficultés pour respecter les nouvelles obligations posées par le règlement. Beaucoup d’entreprises n’auront pas conscience de la portée de ces nouvelles obligations. La CNIL devra faire œuvre de pédagogie sur ce sujet. À ce titre, il pourrait être utile que des actions d’informations soient menées dans les chambres de commerce et d’industrie et les chambres de métiers et de l’artisanat.

M. Éric Barbry, président de la commission juridique de l’Association pour le commerce et les services en ligne (ACSEL) a rappelé que le règlement comprenait de nombreuses obligations nouvelles pour les entreprises, sans que des paliers soient prévus pour une mise en œuvre progressive et qu’il serait peu probable que toutes les entreprises soient prêtes en 2018. Il a notamment regretté que le règlement ne permette la mise en œuvre d’expérimentation, afin de permettre à de nouvelles start-up de tester de nouveaux développements de numériques sans être contraintes de respecter immédiatement l’ensemble des obligations du règlement.

De même, Mme Marie-Blanche Niel-Gilly, directrice des données personnelles et correspondante « informatique et libertés » de l’entreprise SoLocal Group a indiqué à la mission que la notification de failles de sécurité aux autorités de contrôle dans un délai de 72 heures pourrait être particulièrement contraignante pour les petites entreprises, qui ne seront pas en mesure de détecter des failles dans ce délai ou de gérer ce type de « crise ».

M. Marc Mossé, directeur juridique et affaires publiques Europe de Microsoft a quant à lui souligné le rôle essentiel que Microsoft devrait jouer en matière d’accompagnement des PME partenaires de l’entreprise pour leur expliquer les nouvelles obligations auxquelles elles seront soumises. Mme Marie-Charlotte Roques-Bonnet, directrice de la politique de confidentialité de cette même entreprise, a appelé l’attention de la mission sur le fait que la documentation que devraient réunir les responsables de traitement pour prouver la conformité de leur traitement aux exigences du règlement risquait de constituer des obligations très « bureaucratiques » pour des petites entreprises.

< Rapport d'information >