[DOSSIER] 2018 : le choc réglementaire 3/4

Protection des données : le RGPD, mode d'emploi

Protection des données : le RGPD, mode d'emploi

Par Lise Breteau, avocate associée au cabinet Osborne Clarke France

Le règlement européen sur la protection des données doit être mis en ­application au plus tard le 25 mai 2018. Ce nouveau règlement modernise en pro­fondeur la directive du 24 octobre 1995 et fait basculer la réglementation d’un système formaliste à un ­système ambitieux de gouvernance des données. Dotée d’une loi du 6 janvier 1978, relative à l’informatique aux fichiers et aux libertés, la France disposait déjà d’une culture de la donnée ­personnelle bien avant le RGPD et la directive de 1995, mais le régime juridique était jusqu’à présent bien plus modeste.

Le règlement transforme l’appro­che de l’entreprise dans la ­gestion de ses données. Jusqu’à présent, le système reposait sur trois grands volets, tous trois remaniés par la réforme.

- Premier volet, des formalités à effectuer auprès de la Cnil, plus ou moins lourdes en fonction des caractéristiques des traitements. Du système de ­formalités on bascule vers un ­système de gouvernance interne et d’autocontrôle. Le raison­nement change : la saisine préalable et systématique de la Cnil disparaît. L’entreprise s’auto­évaluera pour s’assurer que tout ce qui est fait en son sein est conforme au règle­ment et ce, dans une approche fondée sur le risque. Pour ce faire, elle aura l’obligation de mettre en place des processus et documents ­internes : tenir un registre des traitements, réaliser des études d’impacts pour les données présen­tant le plus de risques, telles que les données de santé, ou encore mettre en place des procédures pour formaliser la méthodologie en cas de lancement d’un nouveau traitement, de réclamation client, de faille de sécurité, etc.

- Deuxième volet, le droit antérieur prévoyait des obligations générales quant à la gestion interne des traitements : grands principes de licéité, de sécurité, etc. Mais qui n’étaient pas détaillées dans les textes et sur lesquels les autorités ont progressivement bâti leur doctrine – dont la portée juridique n’est pas toujours claire. Le RGPD impose de ­nombreuses obligations détaillées, comme la création d’un poste de délégué chargé de la protection des données (DPO : data protection officer) ou encore la mise en œuvre de mesures de sécurité, par exemple pseudo­nymisation, chiffrement, etc. Pour le secteur de l’assurance, le RGPD sera un nouveau référentiel à intégrer aux processus ­habituels de conformité et de gestion de risque.

- Troisième volet, enfin, une des grandes nouveautés de ce dispositif est d’assurer une meilleure information du client et un renforcement de ses droits, permis par un plus grand niveau d’exigence dans la protection des données personnelles. Les entreprises doivent mettre tout en œuvre pour informer leurs clients des droits dont ils disposent et leur permettre ainsi de les ­exercer de manière effective. Pour ce faire, elles doivent être en mesure de répondre à leurs deman­des relatives à la portabilité (système introduit par le règle­ment qui permet à chaque usager de ­solliciter auprès d’une entreprise l’ensemble des données qu’elle détient afin d’en disposer librement pour les transmettre à une autre entité, par exemple), aux demandes d’accès à certaines informations, mais également veiller à mettre en place des ­services internes de gestion des plaintes. Cela ne signifie pas pour autant qu’il faut dire oui à toutes les demandes émanant du client. Un client qui demanderait à son ­assureur la suppression de ses données alors qu’il vient de ­déclarer un sinistre, dans les faits ce n’est pas réalisable.

Le nouveau règlement prévoit des amendes très lourdes pouvant aller de 10 à 20 M€ ou de 2 à 4 % du chiffre d’affaires annuel mondial du groupe. Actuellement, le maximum que la Cnil puisse ­infliger est une amende d’un montant de 3 M€.

Deux évolutions importantes

  • L’obligation de notification. En cas d’une attaque cyber, l’entreprise doit notifier la violation de données à la Cnil dans les 72 heures à compter du constat de l’intrusion, sauf si la violation n’est pas susceptible d’entraîner un risque pour les droits et libertés des personnes physiques. Si la violation engendre un risque élevé, l’entreprise a l’obligation de communiquer la violation à la personne concernée.
  • Le retrait de consentement. Toute personne physique qui a donné son autorisation au traitement de ses données aura la possibilité de retirer son consentement. Ce droit existait déjà dans le système actuel, mais avec RGPD, l’entreprise devra mentionner ce principe expressément pour que chaque client puisse l’exercer de manière effective.

Emploi

BNP PARIBAS

Architecte IT H/F

Postuler

CIBLEXPERTS

Expert RC construction ou mécanique H/F

Postuler

BNP PARIBAS

Chargé(e) d'études actuarielles - Tarification H/F

Postuler
Accéder aux offres d'emploi

APPELS D'OFFRES

Contrats d'assurances

CCM de Petite Camargue

25 septembre

30 - CC DE PETITE CAMARGUE

Diverses assurances

OPH-ACM Agglo Castres-Mazamet

25 septembre

81 - Castres

Assurance flotte automobile et risques annexes

SEMCODA

25 septembre

01 - SEMCODA - NOVADE

Proposé par   Marchés Online

Commentaires

Protection des données : le RGPD, mode d'emploi

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié