Intervention de Marie-Laure Denis

Notre mission consistant à la fois à accompagner et à sanctionner le cas échéant, cela peut compliquer quelque peu nos rapports avec les entreprises. Celles-ci doivent fournir, c'est vrai, des efforts importants de gouvernance à la suite du RGPD, tant les enjeux juridiques, informatiques, stratégiques voire de réputation sont importants désormais. Pour autant, vous l'avez rappelé, la CNIL a 41 ans. La loi Informatique et Libertés de 1978 portait depuis l'origine des obligations comparables à celles issues du RGPD. Ce règlement n'a donc fait que renforcer ces obligations déjà à la charge des entreprises.

Dans ce cadre nouveau, la CNIL accompagne les entreprises. À cette fin, nous avons mis en place un logiciel en open source, téléchargeable sur notre site. À ce jour, il a été téléchargé 300 000 fois. Initialement disponible dans seulement deux langues, il est actuellement proposé dans dix-neuf langues différentes.

De même, seules les grandes entreprises sont concernées par l'obligation de nommer un délégué à la protection des données. Pour accompagner ce nouveau rôle, nous avons mis en ligne un MOOC (massive open on line courses, c'est-à-dire un cours gratuit en ligne) qui permet de cadrer les missions inhérentes à cette nouvelle fonction.

Notre approche à l'égard des petites entreprises est différente. En effet, nous leur demandons simplement de respecter des obligations de bon sens - registre des traitements, règles de sécurité informatique, etc. Nous avons élaboré un guide à destination des TPE et des PME, et préparons le même type outil pour les collectivités territoriales.

En somme, les retours sont différents en fonction de la taille des entreprises. Dans tous les cas, nous ne devons pas surestimer les coûts induits par le RGPD. Ils sont liés à l'échelle des entreprises.