Interview | Nouvelle réglementation sur la protection des données, préparez-vous !
Prenant en compte l’évolution des technologies digitales et des pratiques du marché, le nouveau Règlement Général européen sur la Protection des Données (RGPD) arrive prochainement pour imposer des responsabilités nouvelles aux entreprises amenées à collecter, traiter, regrouper et analyser des données personnelles et comportementales. Objectifs : protéger les consommateurs et leur redonner de la confiance dans les relations avec les entreprises. En complément du guide « Nouvelle réglementation sur la protection des données : préparez-vous », interview de Gérard HAAS et Stéphane ASTIER du cabinet Haas Avocats sur ce qui attend la plupart des acteurs du marché.
Stéphane Astier et Gérard Haas du cabinet Haas Avocats expliquent aux entreprises comment se préparer à la nouvelle réglementation sur la protection des données
Pourquoi une nouvelle réglementation en matière de protection des données ?
Les objectifs du législateur européen exprimés à travers le Règlement Général pour la Protection des Données (RGPD) sont multiples. Il s’agit de créer un cadre renforcé et harmonisé de la protection des données tenant compte des récentes évolutions technologiques (Big Data, objets connectés, Intelligence Artificielle) et des défis qui accompagnent ces évolutions. L’individu est placé au cœur du dispositif légal qui voit ainsi ses droits renforcés (consolidation des obligations d’information, restrictions en termes de recueil de consentement, nouveau droit à la portabilité des données, à l’effacement, etc.)
Sous l’impulsion du RGPD sont ainsi renforcés les devoirs et responsabilités de toute la chaîne d’acteurs, du responsable de traitement aux partenaires commerciaux en passant par les sous-traitants fournisseurs de services. Ces contraintes s’appuient notamment sur les principes de « Privacy by Design » et « d’accountability ». Concrètement, cela signifie que chaque entreprise doit se doter d’une politique de protection des données globale en s’assurant, dès le moment de la conception, que le nouveau service qu’elle s’apprête à lancer sur le marché et qui va lui permettre de collecter des données est bien conforme à la réglementation.
Il s’agit de responsabiliser chaque acteur en l’obligeant à s’engager dans une démarche globale vertueuse visant à la protection de la vie privée. Et les sanctions elles-aussi se renforcent. Alors qu’il y a peu, la CNIL ne pouvait aller au-delà d’une amende de 150 000 euros, elle pourra dès mai 2018 infliger des sanctions pouvant aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires mondial… à bon entendeur.
Quelles sont les sociétés concernées ?
Chaque citoyen européen aura la possibilité d’imposer l’application du RGPD et de faire valoir les droits et garanties qui l’accompagnent à toute entreprise (européenne ou non) qui collecte ses données. L’enjeu est de taille car il s’agit ici d’imposer notamment aux géants américains et asiatiques l’application des mêmes règles contraignantes que leurs plus modestes concurrents européens, dès que les données d’un citoyen européen sont collectées et traitées. TPE/PME, sociétés du CAC 40, banques, assurances, cybermarchands, SSII, fournisseurs de services SaaS, exploitants de MarketPlace, éditeurs d’applications mobiles ou autres dispositifs connectés, etc. Tous seront concernés par le RGPD dès lors que des traitements de données à caractère personnel sont effectués. Il est intéressant ici d’observer – car c’est une vraie révolution du Règlement – que l’on passe d’un système de responsabilité à la logique plutôt vertical (le responsable du traitement endossait une part quasi-totale du risque juridique) à un système de responsabilité plus horizontal qui place les responsables de traitements et leurs sous-traitants sur un même pied d’égalité vis-à-vis des sanctions pour non-respect de la réglementation.
Il convient également de préciser que le secteur privé n’est pas le seul concerné, l’ensemble du secteur public est également assujetti aux règles contraignantes du RGPD.
Dans les grandes lignes, quelles actions doivent-être mises en œuvre pour être en conformité d’ici mai 2018 ?
Se mettre en conformité avec le RGPD suppose de définir au niveau de l’entreprise une Gouvernance de la Data intégrant la brique juridique à chaque étape de la conception et du lancement de nouveaux services impliquant des traitements de données. Parmi les exemples de mesures nouvelles et déterminantes pour se prémunir contre d’éventuelles sanctions :
- Désigner un Délégué à la protection des données (DPO en anglais), pilier central de ces différentes mesures
- Renforcer son dispositif contractuel concernant les garanties de confidentialité
- Assurer en interne la mise en place d’un Référentiel Sécurité adéquat et mis à jour (Charte Utilisateurs des SI, Politique d’habilitation, Politique de gestion des incidents etc.)
- Réaliser des études d’impact
Les études d’impact ont en effet vocation à se généraliser et visent les traitements dits « à risque ». Elles vont permettre aux responsables de traitements, comme aux fournisseurs de solutions permettant lesdits traitements, d’être en mesure de justifier du niveau de garantie proposé en termes de protection des données.
Différenciation concurrentielle, renforcement de la confiance des partenaires et clients, la nouvelle réglementation européenne pour la protection des données s’inscrit dans une logique vertueuse tant sur le plan économique que sur le plan de la protection de la vie privée. Définir une politique de protection des données constitue désormais, et sans aucun doute, un investissement clé pour favoriser un développement harmonieux de l’entreprise.
Passez désormais à l’action et faites le point sur les actions que vous devez mettre en place avec notre guide complet et sa check-list opérationnelle sur la nouvelle réglementation en matière de protection des données.