Sélectionner une page

Plus que 38 jours pour se conformer à la nouvelle régulation

La phase de mise en conformité de toutes les entreprises de l’UE traitant des données personnelles touche à sa fin, le 25 mai prochain, la réforme sera directement applicable et tout manquement pourra entraîner des pénalités atteignant 4% du CA.

  • Individu à le pouvoir
  • Entreprises ont la responsabilité
  • Cohérence et homogénéité au niveau Européen

Le nouveau règlement européen sur la protection des données place l’individu comme unique maître de ses données personnelles, une mesure qui prend d’autant plus de sens en plein scandale Cambridge Analytica; si les utilisateurs soulevaient des inquiétudes depuis plusieurs années, un cas concret aura permis de conforter les acteurs de la nécessité de cette réforme.

Pour les professionnels touchés par cette réforme, il s’agit de se responsabiliser

Vérifier la conformité de son entreprise via un audit réalisé par un professionnel de la sécurité ou de la gestion de données informatique par exemple, qui passera en revue le système de gestion de donnée de votre entreprise pour en déterminer les faiblesses. Cette phase d’analyse vous permettra de déterminer les besoins réels de votre entreprise et les solutions à votre portée dans le temps imparti, et le temps presse:

Plus de 80% des entreprises ne seront pas en conformité au 25 mai 2018 d’après le baromètre RGPD

Cette nouvelle responsabilité se traduit notamment par un nouveau poste au sein des entreprises, celui de délégué à la protection des données. Le rôle de délégué –qui doit être confié à un employé qualifié mais peut aussi être externalisé à un spécialiste – consiste à veiller à la mise en conformité et au respect de la réforme, il est l’intermédiaire de l’entreprises avec le CNIL. La désignation d’un délégué au sein d’une entreprise est encouragée par le CNIL elle n’est cependant nécessaire que pour les organismes publics et/ou traitant de données personnelles à grande échelle ou de nature sensible.

Le CNIL, un allié

Dans une démarche d’accompagnement, le CNIL met à disposition des entreprises des outils tels que le logiciel PIA (Privacy Intelligence Assessment); à destination d’utilisateurs peu expérimentés, ce programme propose de faciliter l’analyse d’impact sur la protection des données. Prochainement, l’organisme mettra en ligne de la documentation telle que des référentiels, des formulaires de recueil de consentement type, ou encore des listes précisant la nature des informations soumises à la reforme. Des outils pratiques visant à épauler les responsables du traitement de données pour une mise en conformité plus fluide, alors que la date se rapproche.

Les droits de l’utilisateur au centre

On redonne de l’importance aux données de l’individu, aux professionnels de se plier aux nouvelles exigences européennes. Désormais, il faudra l’accord explicite des utilisateurs -ou de leurs tuteurs concernant les mineurs de moins de 16 ans- pour conserver et traiter les données personnelles de ceux-ci. L’utilisateur a un droit de regard, utilisation, retrait et déplacement de SES données car elles lui appartiennent.

La responsabilité incombe clairement aux acteurs en charge du traitement de ces données, (professionnels du marketing, sous-traitants et plus globalement toute entité qui détient des données personnelles) non seulement de s’assurer du consentement de l’individu, mais aussi de la sécurité du stockage de ces données et enfin et plus globalement de repenser le fonctionnement même de son organisation afin de ne plus mettre ces données sensibles au cœur de leur démarche.

Homogénéisation, cheval de bataille de l’UE

Il s’agit de s’assurer de la cohérence des pratiques de traitement et de gestion des données personnelles à l’échelle européenne, en désignant un organisme référant dans chaque état, équivalent de la CNIL. Cet établissement aura pour rôle de faire appliquer le nouveau règlement, intermédiaire entre le consommateur dont il fait respecter les droits fraîchement acquis, et les professionnels de l’industrie à qui il impose des sanctions le cas échéant. Cette refonte va de paire avec un renforcement de la coopération inter-étatique et transnational, il s’agit de donner les moyens à l’organisme de faire respecter la nouvelle régulation, notamment pour des affaires digitales, qui dépassent donc les frontières et juridictions individuelles.

Carotte ou bâton?

Si les homologues de la CNIL auront désormais les outils pour trouver, enquêter y compris en coopération, quels sont leurs pouvoirs en termes de sanction ? C’est à travers l’importance des sanctions prévues que l’ont perçoit la détermination européenne. De l’avertissement à la mise en demeure en passant par la suspension du flux de données, le vrai bâton est une amende administrative pouvant aller jusqu’à 4 % du chiffre d’affaire mondial, de quoi faire réfléchir les plus intrépides. On se demande cependant combien d’avertissements seront lancés avant de voir de telles sanctions mise en place.