Tout à fait. De manière générale, à ce stade c’est l’obligation de moyens qui doit être mise en avant. Cela d’autant plus que les dispositions relatives à l’application du règlement sont, à ce jour, loin d’être toutes publiées. On peut toutefois pointer certaines obligations de résultats : faire droit, dans un délai d’un mois, à toute demande d’une personne, notifier les failles de sécurité, nommer un DPO, etc. La CNIL française a souhaité que, dans la foulée du RGPD, la loi Informatique et Libertés du 6 janvier 1978 soit réécrite. Dans l’immédiat il nous semble surtout nécessaire d’attester que nous nous sommes saisis de la question.
Date de rédaction de cette réponse : novembre 2017.