Les enjeux de la protection des données personnelles à l’aune du règlement européen
Le Règlement Européen portant sur la Protection des Données Personnelles, applicable en France dès le 25 mai 2018, renforce les droits des personnes concernées et la responsabilité des entreprises (grands comptes, PME, startups) qui collectent, stockent, échangent ou transfèrent des données.
Toutes les données personnelles et tous les traitements de l’entreprise sont concernés : CRM, prospection commerciale et campagnes emailing, transferts de données à des filiales, partenaires et sous-traitants, dossiers du personnel, cybersurveillance des salariés et droit à la déconnexion, dispositifs de géolocalisation, biométrie et vidéosurveillance, etc.
Le manquement à ces nouvelles obligations (y compris la négligence) est sévèrement sanctionné, des amendes administratives à hauteur de 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial pouvant être prononcées.
Au-delà de ces contraintes légales et des sanctions, l’utilisation responsable et sécurisée des données collectées par l’entreprise constitue un véritable gage de compétitivité, eu égard à la valeur des données et à la réalité du risque de cyberattaques.
Les actions à mener pour atteindre la conformité d’ici le 25 mai 2018
Compte tenu de l’échéance et des enjeux, les entreprises doivent lancer dès à présent des actions de mise en conformité à la règlementation. Celles-ci pourront varier en fonction de leur taille et leur gouvernance interne, de leur activité (B-to-B et B-to-C), du type de données collectées et des traitements effectués. En toute hypothèse, il est nécessaire de mettre en place des mesures organisationnelles, techniques et juridiques. La protection des données est avant tout une problématique transverse de l’entreprise impliquant une concertation entre les différentes directions métiers (RH, marketing, DSI, etc.).
Voici quelques bonnes pratiques à adopter :
Réaliser ou faire réaliser des audits juridique et technique, afin d’obtenir un inventaire des traitements, de mieux évaluer les risques et, le cas échéant, lancer une étude d’impact ;
Mettre en place une gouvernance adaptée avec la désignation, le cas échéant, d’un Délégué à la Protection des Données (ou DPO) ;
Créer et/ou mettre à jour de la documentation et des procédures internes, à communiquer aux autorités en cas de contrôle, sous forme de registre, charte, police, note d’information ou code de conduite (ex : en cas de violation des données et notification aux autorités, en cas de contrôle CNIL, pour la gestion des demandes d’accès et des réclamations, etc.) ;
Définir une politique contractuelle et mettre à jour vos contrats, afin d’obtenir de vos partenaires et sous-traitants des garanties sérieuses, mais aussi de limiter votre responsabilité ;
Garantir une information loyale et effective aux personnes concernées quant à la gestion de leurs données (ex : adaptation de vos CGV/CGU et des pages de votre site web) ;
Mettre en place une politique de sensibilisation et de formation des collaborateurs de votre entreprise (ateliers de formation, fiches pratiques, etc.).
