Malheureusement, votre configuration de navigation actuelle ne vous permet pas de naviguer dans de bonnes conditions.
Vous ne pourrez pas profiter de toutes les fonctionnalités de notre site ni accéder à votre espace client.

Toute une banque pour vous Vous êtes une entreprise 
Nous contacter
error component
Une erreur est survenue
dans l'affichage de cet élément

RGPD : un cadre règlementaire sensiblement plus exigeant

L’entrée en application du RGPD (Règlement européen sur la protection des données) va profondément modifier les règles de gestion et d’utilisation des données à caractère personnel. Les entreprises vont devoir se soumettre à des règles plus exigeantes et faire preuve d’une vigilance renforcée.

Le 25 mai 2018, le RGPD prendra force exécutoire dans les 27 pays de l’Union européenne. Ce nouveau cadre réglementaire, entré en vigueur le 27 avril 2016, mais doté pour l’heure d’une simple portée incitative, deviendra alors la norme pour tous les acteurs, publics et privés, gérant des données personnelles. Dont les entreprises.

L’objectif est double. D’abord « moderniser la réglementation pour créer un espace européen sécurisé favorable au développement des nouvelles technologies, en particulier numériques, qui ouvrent de nouveaux champs d’utilisation en matière de traitement des données », explique Frédéric Forster, directeur du pôle Télécoms du cabinet Lexing Alain Bensoussan Avocats. Ensuite, harmoniser les règles en vigueur au sein des différents pays de l’Union pour créer les règles d’une concurrence équitable.

 

NOUVELLE APPROCHE

Le changement est de taille. L’entrée en application du RGPD va en effet profondément modifier les règles encadrant la gestion des données personnelles. Et ce à tous les niveaux de l’entreprise. Qu’il s’agisse du service commercial, exploitant des bases de données clients, du service marketing exploitant des fichiers de prospects, du service achats compilant des fichiers fournisseurs, ou encore des RH, archivant les dossiers des collaborateurs et les CV des candidats, la quasi-totalité des fonctions utilisent ces données et sont donc concernées.

Alors que le socle juridique actuel, encadrant la protection des données personnelles, repose en grande partie sur un régime de déclarations et d’autorisations, le RGPD se fonde sur une toute autre logique. Plus besoin pour le coup, de systématiquement déclarer ses fichiers à l’autorité de contrôle, en l’occurrence la CNIL. En revanche, le nouveau règlement impose de tout mettre en œuvre pour assurer la protection des données. « Sous peine de sanctions, puisque l’entreprise verra sa responsabilité engagée en cas de manquement », souligne Frédéric Forster. Avec de lourdes amendes à la clé : jusqu’à 20 millions € ou 4 % du CA mondial de l’entreprise.

 

DES OBLIGATIONS RENFORCÉES

Comment va se concrétiser ce changement pour les entreprises ? Chacune sera libre de s’organiser à sa manière. À charge pour elle de respecter le nouveau cadre protecteur du RGPD, basé sur une série de grands principes. Au nom de ces derniers, seules les données répondant à une finalité précise pourront être collectées. Il faudra donc être sélectif, la collecte « par défaut » étant désormais proscrite. En outre, la durée de conservation des données sera limitée dans le temps. Elles devront aussi être mises à jour et actualisées.

Au-delà, les entreprises devront tout mettre en œuvre pour sécuriser leurs fichiers de données personnelles. Avant même la constitution d’un fichier, elles devront s’interroger sur les mesures à prendre pour garantir leur protection. « S’il s’agit de données sensibles, susceptibles de fournir des indications par exemple sur l’origine raciale, l’orientation sexuelle ou politique, il faudra conduire une étude d’impact complète, précisant en détail les risques encourus et les mesures pour les circonscrire », détaille Frédéric Forster.

À tout moment, les entreprises devront être en mesure de prouver qu’elles ont pris les mesures adéquates. Enfin, si elles effectuent des traitements de données à grande échelle ou exploitent des données sensibles (liées à la santé par exemple), elles devront désigner un référent interne dont le rôle sera de veiller à la bonne application du RGPD : le DPO (data protection officer) ou délégué à la protection des données.

 

SE METTRE EN CONFORMITÉ

Le champ du RGPD est large. De fait, dès lors qu’un résident européen est visé par un traitement de données, y compris sur Internet, il sera fondé à s’appliquer. Inutile de dire que cette nouvelle donne va nécessiter, pour de nombreuses entreprises, une conséquente mise à niveau en termes de process et d’organisation. Tout cela va prendre du temps bien sûr, car la matière est complexe. « Le texte porte en germe près de 400 obligations, dont le contenu est précisé dans 99 articles, et près de 200 considérants, chiffre Frédéric Forster.  D’où l’intérêt de se pencher sur le dossier sans tarder, pour être en règle avant l’entrée en application du RGPD au printemps prochain ».

Afin d’aider les entreprises à formaliser cette démarche, la CNIL a mis en ligne sur son site internet, une fiche méthodologique  accompagnée d’outils et de ressources pratiques. Un support de travail bienvenu pour sérier les priorités et partir sur de bons rails.

BON À SAVOIR

Le RGPD est un règlement européen. Contrairement à une directive, un règlement est directement applicable dans l’ensemble de l’Union européenne sans nécessiter de transposition par une loi nationale dans les différents États membres. Quel que soit le pays où elles se trouvent, l’ensemble des entreprises européennes sont concernées par les dispositions de ce texte et devront les mettre en application à compter du 25 mai 2018.

© Uni-éditions – septembre 2017

TOUT UN MAG POUR VOUS