RGPD : quel impact opérationnel pour les entreprises ?

RGPD : quel impact opérationnel pour les entreprises ?
DR Sabine DelogesAvocat FIDAL

Depuis le 25 mai 2018, toutes les entreprises utilisant des fichiers de données personnelles devront se conformer aux nouvelles dispositions du Règlement européen sur la protection des données personnelles (RGPD).

Ce règlement est l’aboutissement de quatre années d’intenses négociations et de lobbying entre les acteurs du secteur privé et les institutions européennes. Il remplacera la directive 95?/?46?/?CE du 24?octobre 1995 et a vocation à réformer et uniformiser les règles applicables dans les différents pays de l’Union européenne (UE) afin de favoriser la création d’un marché unique du numérique. Il met notamment à jour les principes de la directive de manière à suivre les changements majeurs apportés par Internet dans le traitement de données en prenant en compte l’utilisation massive des données personnelles via notamment les smartphones, les réseaux sociaux, les services commerciaux et bancaires en ligne, les transferts mondiaux.

? De la cohérence juridique pour favoriser la concurrence

Le RGPD représente un outil de clarté juridique pour les entreprises en remplaçant l’actuelle mosaïque des 28 lois nationales transposant la directive de 1995 applicable aux données personnelles par une unique législation. Les avantages sont estimés à 2,3?milliards d’euros par an, selon la Commission européenne.

Le règlement prévoit également un système de guichet unique pour les entreprises?; ce qui signifie qu’elles n’auront à faire face qu’à une seule autorité de surveillance (la Cnil pour la France), leur permettant par la même occasion de développer leurs activités dans différents pays de l’Union européenne de manière plus simple et moins coûteuse. La sécurité juridique pour les entreprises est ainsi renforcée et doublée d’une simplification des démarches auprès d’un seul organe.

En outre, les nouvelles règles du RGPD seront applicables à toutes les entreprises ciblant les consommateurs européens, indépendamment du fait qu’elles soient établies à l’intérieur ou à l’extérieur de l’UE. Le règlement énonce clairement que les entreprises basées en dehors de l’UE doivent respecter les mêmes normes que celles qui proposent des biens et des services sur le marché de l’UE. Cela contribue à créer une concurrence équitable pour toutes les entreprises opérant au sein de l’Union.

? Une responsabilisation des entreprises pour une plus grande flexibilité

Le RGPD vise l’injection, dans l’ADN même des entreprises traitant des données à caractère personnel, du principe d’accountability. Ce concept valorise une démarche de corégulation par laquelle l’entreprise doit se responsabiliser et définir par elle-même les mesures de conformité qu’elle estime les plus adaptées à sa situation et sur la base desquelles elle est tenue de rendre compte, tant auprès des autorités de contrôle que des personnes fichées (clients, prospect, administrés, adhérents ou salariés).

L’entreprise bénéficie ainsi d’une certaine souplesse dans la définition de son programme de conformité. Cette flexibilité n’abaisse pas en parallèle le niveau des contrôles susceptibles d’être opérés par les autorités publiques.

La contrepartie de cet engagement est la suppression des formalités déclaratives auprès de la Cnil (sauf quelques exceptions). Pour apporter la preuve de sa conformité à la législation en matière de protection des données personnelles, les entreprises devront définir des normes internes et tenir une documentation (registre des données, politique de durée de conservation, politique de sécurité, etc.) qui devra obligatoirement être mise à la disposition de la Cnil en cas de contrôle.

D’un point de vue opérationnel, la conformité au RGPD reposera également sur la mise en place de nouvelles procédures internes.

? Intégration de la protection de la vie privée dans l’élaboration des outils technologiques

Parmi ces procédures, les entreprises devront intégrer le principe du privacy by design and by default directement dans la conception et le fonctionnement des systèmes et réseaux informatiques, mais également dans l’élaboration de pratiques responsables.

Ce nouveau principe vise à agir de manière proactive et préventive, avant que le lancement de nouvelles technologies auprès du public n’entraîne de nombreuses atteintes à la protection de la vie privée des utilisateurs compte tenu de leur performance et de leur interconnectivité.

Sa mise en œuvre repose sur des mesures techniques et organisationnelles appropriées dans les différentes étapes de production?:

– en amont, au moment de la détermination du traitement, mais également en aval, au moment du traitement proprement dit pour mettre en œuvre les principes relatifs à la protection des données de façon effective et garantir le respect des principes du règlement et la protection des personnes tout le long du processus de traitement ;

– par défaut pour garantir que seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées?;

Notamment, les entreprises devront respecter les règles suivantes?:

– assurer par défaut la protection implicite de la vie privée des utilisateurs?;

– assurer la sécurité tout le long du cycle de vie du traitement?;

– assurer la visibilité et la transparence des moyens de traitement mis en œuvre?;

– minimiser l’utilisation des données personnelles.

Cette approche devra être documentée afin que le responsable de traitement soit en mesure d’apporter la preuve du respect de cette obligation sur demande de la Cnil. Aussi, pour chaque nouvelle technologie créée ou mise en place, l’entreprise doit mettre au point des études avec pour objet d’analyser les différents impacts que ces technologies pourront avoir sur les données personnelles.

? Une évaluation des risques a priori

Pour les traitements de données personnelles susceptibles de générer des risques élevés pour les droits et libertés des personnes, les entreprises devront également réaliser une analyse d’impact dont l’objet devra porter, d’une part, sur l’évaluation de ces risques et, d’autre part, sur la détermination des mesures à mettre en œuvre pour atténuer les risques identifiés.

Cette démarche d’analyse d’impact vise à anticiper et minimiser les potentielles intrusions engendrées par l’utilisation des nouvelles technologies dans la sphère de la vie privée. Elle devra être effectuée en amont de la mise en œuvre du traitement, c’est-à-dire dès la conception des produits ou outils technologiques, et en concertation avec le délégué à la protection des données s’il a été désigné par l’entreprise.

Sont notamment considérés comme des traitements à risques ceux ayant pour objet?:

– l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire?;

– le traitement à grande échelle de catégories particulières de données (par exemple les données sensibles), ou de données à caractère personnel relatives à des condamnations pénales et à des infractions?;

– la surveillance systématique à grande échelle d’une zone accessible au public.

Les autorités locales de protection des données pourront établir des listes précisant les catégories de traitement soumises ou non à l’obligation d’effectuer une analyse d’impact.

Concrètement, les traitements visés devraient concerner les traitements ayant recours à des technologies sensibles telles que la biométrie, les traitements collectant des données relatives aux enfants ou des données relatives à la santé, les traitements effectuant des opérations de ciblage publicitaire, les traitements donnant lieu à la constitution de listes noires ainsi que les traitements de vidéosurveillance.

En cas de recours à un prestataire technique pour le développement du projet, l’entreprise responsable du traitement devra également intégrer des obligations strictes en matière de protection des données dans son cahier des charges et dans son contrat pour faire en sorte que son prestataire se conforme aux exigences du règlement dans toutes les phases de développement du projet.

La conduite de l’analyse nécessitera, quoi qu’il en soit, une collaboration étroite entre les différents services susceptibles d’intervenir sur le traitement, tels que l’équipe projet, les ingénieurs, le service informatique, le service marketing, le service de communication, le service juridique, mais également la direction qui devra effectuer des arbitrages dans la gestion des risques. Cet exercice devra également être effectué en concertation avec les parties prenantes externes à l’entreprise pour une prise en compte optimale des enjeux liés à la protection des données (prestataires, usagers ou clients, hébergeurs, etc.).

De plus, les entreprises devront également réviser de façon périodique leur étude d’impact pour prendre en compte l’évolution dans le temps de leurs produits, outils et systèmes d’information.

En tout état de cause, l’établissement du rapport d’analyse permettra aux entreprises d’identifier les risques liés aux traitements de données à caractère personnel, d’évaluer leur probabilité d’occurrence, de documenter les modalités et démarches de réduction de ces risques.

Cette nouvelle obligation vise à garantir que les entreprises soient conscientes dès le départ de toutes les conséquences possibles de leur traitement pour passer d’une logique de conformité a posteriori à une logique de gestion des risques a priori.

? Une nouvelle gestion des risques de sécurité

En matière de sécurité des données, toutes les entreprises responsables de traitement de données seront dorénavant soumises à une obligation de notification auprès de leur autorité de protection des données en cas de faille détectée dans leur système informatique et pour toute violation de sécurité occasionnant une fuite de données personnelles.

Cette notification devra intervenir dans les meilleurs délais ou, si possible, dans les 72 heures à compter de la constatation de la faille de sécurité. Le responsable doit également informer la personne concernée par la violation de ses données, si la violation a – ou peut avoir – des conséquences graves pour la vie privée de cette personne, sauf si la Cnil a constaté que les données personnelles étaient chiffrées (donc incompréhensibles pour les personnes extérieures à l’entreprise).

Les entreprises tributaires de cette obligation devront tenir un inventaire des violations dont elles ont été victimes, détaillant les modalités, leurs effets et les mesures prises pour y remédier. Cet inventaire doit être mis à la disposition de l’autorité de contrôle locale.

Le but de cette obligation est d’apporter davantage de sécurité, de transparence et de traçabilité dans les traitements de données à caractère personnel. Ainsi, le règlement a vocation à lutter efficacement et durablement contre la cybercriminalité, en essayant de responsabiliser au maximum les organismes privés et publics.

? Un chef d’orchestre de la conformité

La conformité passera enfin et surtout par la nomination d’un délégué à la protection des données (le DPO) qui remplacera le Correspondant informatique et libertés (Cil) actuel. La désignation d’un DPO sera obligatoire pour les entités appartenant au secteur public, les entreprises dont les activités principales demandent la réalisation d’un suivi régulier et systématique des personnes à grande échelle comme le profilage, ainsi que les entreprises dont les activités impliquent le traitement à grande échelle de données sensibles (données biométriques, données de santé, données révélant les opinions politiques, etc.) ou relatives à des condamnations pénales et infractions.

Doté de moyens propres, le DPO aura pour large tâche de piloter en interne et en externe les actions de conformité au RGPD. La désignation d’un DPO est à privilégier même lorsqu’elle n’est pas obligatoire, dans la mesure où le DPO a vocation à jouer un rôle central en matière de gouvernance des données et d’accountability. Le DPO peut également être mutualisé entre plusieurs organismes ou externalisé ce qui peut être une alternative intéressante pour la mise en place et le déploiement d’un programme de conformité tout en permettant une certaine souplesse dans la gestion des ressources.

? Modification de la loi informatique et libertés

Le RGPD est directement applicable dans tous les États membres. Ces derniers ont toutefois la possibilité de préciser davantage l’application du RGPD en matière de protection des données dans certains domaines spécifiques (secteur public, emploi et sécurité sociale, santé publique, fins archivistiques dans l’intérêt public, etc.). En France, le projet de loi informatique et libertés n°?2 est en cours d’examen devant le Parlement et doit être définitivement adopté avant le 25?mai. Le projet n’instaure dans tous les cas pas de présomption de conformité pour les traitements autorisés par la Cnil avant cette date.

À cet égard, la présidente de la Cnil a déclaré que?: «?La nécessité d’adaptation sera bien sûr prise en compte en ce qui concerne le déploiement des nouveaux droits et des nouveaux outils de l’accountability offerts par le règlement. C’est encore une fois toute la logique de notre priorité actuelle portée sur l’accompagnement, la communication envers les acteurs concernés et le développement d’outils innovants pour aider à la mise en conformité. Le règlement ne sera pas un “couperet” et le régulateur fera preuve de bon sens dans la courbe d’apprentissage des nouvelles règles. L’enjeu pour les autorités de protection des données comme la Cnil est aujourd’hui de bâtir un équilibre dans la régulation, entre protection, utilisation et innovation, un paradigme nouveau qui reflète l’esprit du nouveau règlement européen.?» Le RGPD doit ainsi s’inscrire dans le prolongement de la transition numérique des entreprises. Pour se conformer, chaque entreprise devra évaluer et quantifier l’impact du RGPD sur ses activités en réalisant un état des lieux global de ses fichiers et traitements et, en fonction des différents risques juridiques identifiés, hiérarchiser de manière pragmatique la mise en place des actions correctives.

L’entreprise devra ensuite organiser et planifier la gestion rigoureuse des données avec la mise en place d’une gouvernance RGPD spécifique, sous peine de sanctions lourdes (jusqu’à 20 millions d’euros ou 4?% du chiffre d’affaires mondial, sans compter les sanctions civiles, voire pénales, pouvant théoriquement être prononcés à l’encontre des dirigeants). Outre l’objectif de conformité, la mise en œuvre du RGPD constitue également une opportunité business pour faire de la protection des données un élément de valorisation du patrimoine informationnel des entreprises et prendre le virage du big data. La mise en œuvre des nouvelles règles devrait permettre de favoriser la confiance des clients tout en améliorant la performance et la sécurité des fichiers de données?; ce qui constituera un avantage marketing et concurrentiel majeur pour les entreprises. ?

Emploi

KAPIA RGI

Chef de Projet Assurance-Vie H/F

Postuler

KAPIA RGI

Ingénieur Développement PHP5/ZEND (H/F)

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Marché Assurance Complémentaire Santé.

MSA de Lorraine

22 mai

54 - VANDOEUVRE LES NANCY

Marché Assurances.

Métropole du Grand Nancy Direction des Finances

22 mai

54 - NANCY

Marché de domiciliation bancaire.

COURBEVOIE HABITAT

22 mai

92 - COURBEVOIE

Proposé par   Marchés Online

Commentaires

RGPD : quel impact opérationnel pour les entreprises ?

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié