Protection des données personnelles : les entreprises doivent se préparer !

Patrimoine - Le règlement européen sur la protection des données (RGDP) entrera en vigueur le 25 mai 2018. Ce texte va entraîner une évolution substantielle de la réglementation nationale jusque-là applicable. Reste donc aux entreprises à mettre à profit l’année qui vient pour faire évoluer leurs pratiques afin de les rendre conformes aux nouvelles exigences européennes. Un chantier plus complexe qu’il n’y paraît…

Des droits renforcés… 
Le premier droit des personnes qui se trouve renforcé par le règlement est le droit à l’information. Les entreprises qui administrent un fichier contenant des données personnelles doivent ainsi se soumettre à une obligation dite « de transparence », précise le texte. « Les entreprises doivent être en mesure de fournir à toute personne les informations relatives aux traitements dont elle fait l’objet. En plus du droit à l’information, les conditions de recueil du consentement ont également été consolidées.

De nouveaux droits

Le règlement instaure également de nouveaux droits. Le premier, le droit à la portabilité, va permettre à toute personne de récupérer les données auprès de l’entreprise qui les détient, pour, le cas échéant, les communiquer à une autre entité. Enfin, il faut également noter l’introduction de la possibilité de lancer une action collective à l’encontre d’un responsable de traitement.

Responsabilisation des entreprises

Le nouveau règlement inaugure un changement d’approche en passant d’un principe de déclaration préalable et de demande d’autorisation à une logique de responsabilisation des entreprises et de leurs éventuels sous-traitants (hébergeur cloud par exemple). C’est ainsi aux entreprises que reviendra, par défaut, l’obligation de mettre en œuvre les moyens et les processus nécessaires pour garantir une protection optimale des données personnelles stockées. Dans la pratique, cela devrait la conduire à initier des missions de contrôle de la conformité des traitements afin de limiter les risques de sanction.

Une gestion effective 
Dans l’objectif de permettre l’exercice du droit à l’information des personnes mais aussi de faciliter les contrôles de la Cnil, les entreprises administrant des fichiers de données personnelles seront bientôt dans l’obligation de tenir un registre. Elles devront également, dans l’hypothèse où elles envisageraient de mettre en œuvre des traitements dits à risque (données ethniques, politiques, biométriques…), mener, de manière préalable, une étude d’impact complète sur la vie privée des personnes concernées. S’il apparaît que les risques restent importants, l’entreprise devra consulter la Cnil avant de mettre en œuvre le traitement. Enfin, les entreprises devront notifier à la Cnil et aux personnes « fichées » les failles de sécurité détectées lors de la gestion du fichier.

Se lancer sans attendre 
Le sujet est à la fois juridique, technologique, méthodologique et mêle plusieurs directions de l’entreprise. Beaucoup de chantiers doivent ainsi être mis en œuvre : inventorier les traitements, refondre les processus et les pratiques, évaluer les risques, réaliser, le cas échéant, des études d’impact, organiser des actions de sensibilisation et de formation, se coordonner avec les sous-traitants… Cette nouvelle réglementation s’accompagne par ailleurs d’un durcissement des sanctions. Ainsi, en cas de manquement grave, une amende maximale de 20 millions d’euros ou correspondant à 4 % du chiffre d’affaires réalisé par l’entreprise incriminée pourra être appliquée.

Alors, prenez vos dispositions !

Romain Maillard

Senior Manager au sein du département Advisory de BDO France, Romain Maillard accompagne ses clients dans la structuration de leur dispositif de lutte contre la fraude et la corruption, dans l’évaluation de leurs procédures de contrôle interne et dans la gestion de leurs enjeux de compliance (loi Sapin II et RGPD notamment). En tant que Certified Fraud Examiner, il mène également des missions d’investigations, notamment en exploitant les données comptables et financières.

Voir tous les articles de Romain