« L’entreprise non conforme au RGPD pourra être sanctionnée d’une amende pouvant s’élever jusqu'à 4% de son chiffre d’affaires mondial »
Le Règlement européen Général sur la Protection des Données (RGPD) qui s’appliquera le 25 mai 2018 est devenu l’une des préoccupations majeures des Directions Générales des grandes entreprises françaises et européennes. Comment un sujet de conformité « si peu sexy » a-t-il pu s’immiscer dans les COMEX et CODIR tous secteurs confondus ? Comment s’apprête-t-il à bouleverser le traitement des données personnelles ?
Nous allons analyser comment ce règlement renforce les règles existantes et va nécessiter un saut quantique pour un grand nombre d’entreprises afin de se mettre en conformité pour éviter les sanctions pouvant s’élever jusqu’à 4% de leur chiffre d’affaires mondial !
Tout d’abord commençons par les bonnes nouvelles !
Premièrement, le RGPD, par définition, est un règlement européen qui va instaurer les mêmes règles générales sur le traitement des données personnelles. Cette uniformisation va permettre une clarification du traitement des données à travers les 28 Etats membres.
Deuxièmement, le RGPD reprend un grand nombre de principes de notre CNIL (Commission Nationale de l'Informatique et des Libertés) sur le traitement des données personnelles (finalité, pertinence, conservation, consentement et sécurité des données) ce qui facilitera la régularisation des entreprises françaises. Cependant, à l’heure actuelle, de nombreuses entreprises ne sont pas conformes aux règles de la CNIL et cela va donc compliquer leur mise en conformité à l’heure du RGPD !
En parallèle de ces deux mises à jour, trois nouvelles règles principales du RGPD vont bouleverser le monde de l’entreprise : un consentement renforcé, une gouvernance des données obligatoire et une capacité à prouver sa conformité.
- Le recueil du consentement préalable à toute collecte et traitement de données personnelles est renforcé par le règlement européen*. En un mot, tous les utilisateurs doivent être informés en amont de l’usage de leurs données et doivent donner leur accord pour leur traitement et/ou pouvoir s’y opposer. Cela suppose pour les entreprises de pouvoir apporter la preuve de cette acceptation et de mettre en place des stratégies de consentement évolutif et renouvelable dans le temps.
- La gouvernance des données au sein des entreprises se muscle avec la désignation obligatoire d’un délégué à la protection des données (DPO) à partir de mai 2018 pour les entreprises traitant de la donnée à grande échelle et/ou traitant des données sensibles*. Dans les faits, le DPO devient le chef d’orchestre dans la mise en place de procédures internes sur la protection des données personnelles. Il doit veiller à la protection des données et anticiper les potentielles failles. Les entreprises ont maintenant moins d’un an pour nommer ce DPO et lui rattacher des relais dans les différentes directions de l’entreprise afin de l’accompagner dans cette tâche difficile.
- L’entreprise doit aussi être en capacité de prouver à tout moment sa conformité au RGPD. Cela suppose, au préalable, d’avoir documenté et cartographié l’ensemble des traitements des données personnelles et d’avoir mené, si nécessaire, des études d’impact sur la vie privée afin d’identifier et d’évaluer les risques. Concrètement, les entreprises prouveront leur bonne foi en renforçant leur documentation, en analysant les risques en amont des projets et en mettant en place des plans d’actions pour les minimiser.
Au-delà des nouveaux principes de conformité, le RGPD est un véritable challenge car il demande aux entreprises de revoir l’organisation et les processus internes afin de garantir la protection des données personnelles. Et cela n’est qu’un début car la Commission Européenne nous prépare un autre règlement sur la « e-Privacy » afin de moderniser et renforcer la réglementation spécifique sur les communications électroniques et la publicité digitale !
Vous voulez des conseils pour vous accompagner sur le RGPD ? N’hésitez pas à contacter l'équipe d'iProspect Data Consulting.
*Source : https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels