Fermer la publicité

Règlement sur la protection des données personnelles : quelques conseils pratiques

le 11 septembre 2017 - Gérard Léonil et Anne Sendra - EY Socité d'Avocats - Paroles d'experts

Règlement sur la protection des données personnelles : quelques conseils pratiques
D.R.

Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD ») entrera en vigueur dans quelques mois le 25 mai 2018.

De nombreuses entreprises du secteur privé comme du secteur public sont en train d’établir un mode opératoire adapté à leur contexte et à leurs besoins pour se mettre en conformité au plus tôt. Les risques en cas de non-conformité sont suffisamment dissuasifs pour convaincre les plus réticents. Le montant des amendes administratives pouvant être prononcées s’élèvera jusqu’à 20 000 000 € ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent. Outre ces conséquences financières, les entreprises sanctionnées devront également faire face à un risque d’image significatif. La couverture médiatique des récentes décisions de la CNIL* reflète parfaitement l’intérêt croissant que le public porte à la protection de ses données personnelles.

Dans ce contexte, le présent article n’aura pas vocation à décrire les nouveaux principes, droits et obligations issus du RGPD, mais de présenter succinctement les premières étapes habituellement suivies par les entreprises désireuses de se mettre en conformité.

Adoption d’une démarche de conformité

Le RGPD tend à responsabiliser les entreprises en les mettant au centre du dispositif de conformité. A l’inverse de la réglementation actuelle qui repose sur un système de déclarations et d’autorisations systématiques, le RGPD impose aux entreprises de mener - en interne - des analyses de risques qui devront leur permettre de définir et d’adopter les mesures techniques, juridiques et organisationnelles idoines garantissant un niveau adéquat de protection des données personnelles.
Concrètement, lorsqu’une entreprise décidera de mettre en place un nouveau traitement de données personnelles ou de modifier significativement un traitement préexistant, elle devra définir les risques que font courir ce traitement sur la vie privée des individus, puis définir les mesures à mettre en place pour couvrir ces risques. Si ces risques lui paraissent trop élevés, elle devra consulter la CNIL. En tout état de cause, l’entreprise devra documenter sa décision et mettre en place les procédures nécessaires pour contrôler l’efficacité des mesures prises.
Cette démarche de conformité devra être suivie par l’entreprise quel que soit le sujet concerné, dès lors qu’interviennent des traitements de données personnelles. Peu importe que ceux-ci concernent les salariés de l’entreprise, ses clients, des consommateurs, etc.

Et en pratique ? Par où commencer ?

La question des traitements de données personnelles concernant tous les métiers de l’entreprise (commercial, marketing, RH, SI**, sécurité, etc.), l’entreprise doit disposer d’une vision transversale de sa situation pour définir où elle se situe au regard du RGPD. Pour ce faire, les entreprises peuvent réaliser (ou faire réaliser) un diagnostic leur permettant de dresser un état des lieux et d’identifier les zones de non-conformité au RGPD, ainsi que les actions à mener pour y remédier.
Cette démarche réaliste permet à l’entreprise d’élaborer la cartographie des traitements de données personnelles mis en œuvre, ce qui est la première étape pour avoir une vision précise du périmètre sur lequel elle devra porter ses efforts de mise en conformité.
Forte de cette cartographie et du diagnostic identifiant les zones de non-conformité, l’entreprise pourra définir ses priorités en fonction des enjeux, des risques et de ses ressources, puis mettre en place un plan d’actions.
Cette démarche a également pour vertu de démystifier certains sujets complexes et de permettre aux entreprises d’entrer de manière structurée dans une démarche de conformité, à l’instar de ce qui est souhaité par le RGPD.

* Commission nationale de l’informatique et des libertés.
** Système d’information.

Texte rédigé par :

Gérard Leonil
EY Société d’avocats
Avocat | Associé - Business Law
Avocat au barreau de Marseille
gerard.leonil@ey-avocats.com

Anne Sendra
EY Société d’avocats
Avocate au barreau de Marseille
anne.sendra@ey-avocats.com





Les Nouvelles Publications

Hebdomadaire d’informations économiques et juridiques

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
Abonnement Les Nouvelles Publications› Abonnez-vous ‹

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide