Accueil Mairie du Village Les Habitants du Village Les habitants Formateurs & Carrière du Village Des solutions Formation.

Protection des données et conformité au RGPD : 80 jours pour agir.

JPEG - 15.9 ko
Alain Bensoussan

Le Règlement général 2016/679 du 27 avril 2016 sur la protection des données personnelles (RGPD, GDPR en anglais) sera directement applicable dans tous les Etats membres le 25 mai 2018. La quasi-totalité des organismes publics et privés traitant de données personnelles de citoyens européens est concernée par ce texte qui leur impose de se plier à de nouvelles obligations. Quelles actions doivent être priorisées à moins de trois de l’entrée en application du RGPD ?

Par Alain Bensoussan, Avocat, Alain Bensoussan Avocats Lexing.

Il s’agit incontestablement d’une réforme majeure. De nature à impacter en profondeur l’environnement digital des entreprises privées, collectivités publiques, groupements et associations.

A l’heure de l’hyper-connexion et du Big Data, où tous les regards sont tournés vers la protection des données et le respect de la vie privée, il est urgent pour les entreprises d’anticiper ce nouveau texte.

D’autant que les enjeux sont tout sauf minimes : la CNIL, autorité de tutelle, pourrait être amenée à infliger des amendes pouvant atteindre 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires mondial annuel des entités concernées.

De façon plus positive, il s’agit aussi, pour celles-ci, d’un facteur de transparence et de confiance vis-à-vis de leur environnement avec lequel il faudra compter dans les prochains mois.

Les entreprises sont-elles prêtes ?

Au printemps 2017, plusieurs chiffres circulaient : selon diverses études, la moitié des entreprises déclarait ignorer les problématiques induites par la mise en conformité. 70% n’avaient pas nommé de DPO (Data Protection Officer) et près de la moitié ne savait pas du tout si elles seraient conformes à temps.

Depuis septembre, une réelle prise de conscience est perceptible, qui ne fait que croître au fur et à) mesure que se rapproche l’échéance du 25 mai 2018.

RGPD : quel impact ?

Le RGPD a pour objectif de moderniser le cadre européen de la protection des données personnelles afin de prendre en compte les avancées technologiques et de réduire, voire supprimer, les écarts juridiques entre les législations des Etats membres de l’Union européenne.

Il comporte près de 400 obligations dont le contenu est précisé dans 99 articles contextualisés dans près de 200 considérants.
 
Il s’agit d’un texte complexe et technique qui va imposer aux organisations de se plier à de nouvelles obligations, telles que :

  •  la réalisation d’analyses d’impact avant la mise en œuvre d’un traitement de données pouvant présenter des risques pour les droits et libertés des personnes ;
  •  la prise en compte de la protection de la sécurité des données, tant logique que physique, dès la conception du traitement de données concerné ;
  •  l’obligation d’être, à tout moment, en mesure de démontrer la conformité du traitement avec le RGPD.

Mais, on l’a vu, sa mise en application devrait aussi et surtout avoir un effet positif puisqu’il renforce les obligations de sécurité des entreprises, donnant ainsi à leurs clients l’assurance d’un niveau de protection accru pour le traitement de leurs données personnelles.

Il permet ce faisant d’accroître également la confiance de ses partenaires et collaborateurs, et de renforcer sa position concurrentielle.

Quelles priorités à l’horizon de mai 2018 ?

Afin de mettre à profit le temps restant, cinq priorités :

  • une décision hiérarchique forte : la démarche de mise en conformité doit être initiée par la direction générale et entraîner l’ensemble des services pour devenir une nouvelle culture d’entreprise ;
  • mettre en place une organisation pour assurer la compliance. Il faut pour cela désigner un « pilote » : ce sera, dans certaines situations, la désignation d’un DPO (data protection officer) ou délégué à la protection des données, nouveau personnage clé de l’environnement digital des entreprises ;
  • une fois l’organisation définie, un état des lieux s’impose pour établir une analyse d’écarts. A la suite de celle-ci, les zones de risques seront identifiées ;
  • se doter de politiques et de process. Une nécessité en raison du principe de responsabilité ou d’accountability inscrit dans le RGPD. L’organisme, en cas de contrôle, devra être à même de démontrer qu’il a mis en œuvre les process, politiques et mesures organisationnelles pour le respecter ;
  • enfin, adopter une démarche de  privacy by design et de security by default  : Le RGPD impose ces deux démarches qui modifient le pilotage des projets au sein des organismes.

Il reste moins de 3 mois aux entreprises privées, organismes publics et associations pour enclencher un véritable processus vertueux de mise en conformité.

Et l’inscrire comme un véritable engagement sociétal au cœur de sa politique de RSE.

Chez Francis Lefebvre Formation, nous vous accompagnons sur la protection des données et la mise en conformité au RGPD au travers de 2 formations et une journée d’actualité dédiées :

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

43 votes