Le Règlement Général sur la Protection des Données

Le nouveau règlement pour la protection des données, objet de toutes les discussions, a été entériné officiellement le 24 mai 2016. La période actuelle étant transitoire, ce règlement ne sera cependant applicable qu’à partir du 24 mai 2018, ce qui laisse un peu de temps pour s’adapter.

Les conditions principales ont donc déjà été fixées, pour que personne ne soit pris au dépourvu en mai prochain. Chaque entreprise est consciente que tout doit être mis en œuvre pour être prêt à assurer la protection des données, en conformité avec le nouveau règlement. Il est crucial que chaque société soit bien au fait du type de traitement des données mis en place dans sa propre organisation. Les entreprises devront vérifier, par exemple, si le traitement des données est effectué à la demande d’un tiers. Cela concerne aussi le lieu de stockage des données concernant les employés, ou encore l’implication des prestataires de service, et enfin, le lieu où la donnée est finalement exportée.

Nouvelles exigences sur la protection des données

A y regarder de plus près, un grand nombre d’annonceurs se rendent compte qu'ils traitent non seulement des données en propre mais, de plus en plus, que celles-ci sont mélangées à des données tierces. Cela peut être le fait de l’utilisation d’un logiciel particulier, ou dans le contexte d’un projet complexe, impliquant des fournisseurs de données. Les exigences sur la protection des données évoluent en effet avec l’émergence des nouvelles technologies et les demandes des métiers. Auparavant, les bases de données CRM ne contenaient que des données personnelles, mais aujourd’hui, les Big Data rendent possible la fusion et le stockage de données personnelles et externes.

Les entreprises ont compris l’intérêt, rendu possible par les nouvelles technologies, d’une amélioration de l’analyse du comportement du client au travers du datamining et du profilage. Cela n’est pas sans engendrer des complications, du fait des avancées technologiques et de l’empilage des interconnexions avec des plateformes tierces. Bien que le RGPD n’ait pas, scricto sensu, réécrit la loi sur la protection des données, de nouvelles obligations juridiques y sont définies. Il ne s’agira plus seulement de faire savoir où, quand et quel type de données sont traitées, mais aussi de tenir un registre des activités de traitement (article 30 du règlement). Après l'analyse de données, la loi s’intéresse ainsi au contrôle, puis à l’évaluation du traitement de ces données.
 

Voici 3 des 6 conseils de la CNIL pour se préparer pour le RGPD, à retrouver à cette adresse : https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes

En quoi cela va-t-il consister exactement ?

Après l'audit du flux des données, les entreprises qui font du traitement de données devront le plus souvent nommer un délégué à la protection des données (article 37 et suivants du règlement), évaluer en continu leur impact sur la protection des données et / ou mettre en place une analyse d’impact relative à la protection des données (article 35 du RGPD) pour tout type de traitement des données.

Elles devront aussi s’assurer que les contrats avec les sous-traitants, les notifications en ligne sur la protection des données et les autorisations sont bien en conformité avec la nouvelle réglementation. En conséquence, vérifier que tous les processus internes sont convenablement consignés et analysés ne sera pas suffisant. Il faudra aussi s'assurer que le site de l'entreprise ou le suivi (tracking) comportemental des visiteurs soient bien en conformité avec la réglementation en vigueur du RGPD. Tout manquement non rectifié avant mai 2018 pourrait coûter cher.

L’une des nouveautés les plus importantes, et qui suscite bien des réactions, est la clause concernant les amendes. Alors que jusqu'à présent, les amendes, en Europe et en France en particulier, étaient plutôt rares et d’un montant peu élevé, les articles 83 et 84 ont introduit une toute nouvelle dimension dans le monde de la protection des données. On parle ici de 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel, un chiffre de grande ampleur qui devrait vraiment démontrer que la protection des données n’est pas un vain mot.

Des évolutions dans les demandes d’indemnisation

Jusqu'ici, le propriétaire des données était l’unique responsable vis-à-vis de la partie concernée. Désormais, les exigences vont monter d’un cran, car chaque personne lésée pourrait réclamer une indemnisation pour des dommages matériels et depuis peu, également pour des dommages moraux (article 82). De plus, le sous-traitant partage la responsabilité avec le propriétaire des données pour l’intégralité du dommage. Cela peut entraîner des demandes de dommages et intérêts significatifs aux sous-traitants au cas où ceux-ci ne seraient pas couverts par un contrat protecteur.

Le GPDR n’introduit pas d’innovations fondamentales concernant le lieu du traitement des données. Jusqu’à maintenant, seuls les traitements de données effectués au sein de l’Union Européenne (UE) ou de pays tiers identifiés comme sûrs (qui, selon la commission ont démontré un niveau de protection des données équivalent à celui de l’UE) étaient considérés comme solides. Aujourd’hui, lorsque l’on exporte des données vers d'autres pays, le traitement doit déjà être couvert contractuellement. Pour le moment, cela concerne des clauses contractuelles standard pour la transmission des données personnelles à des sous-traitants dans des pays tiers, ou encore les dispositions relatives au Privacy Shield. En conséquence, rien de nouveau par rapport à ce que la loi rend déjà obligatoire en ce domaine.

D’une manière générale, les entreprises qui ont déjà adapté leur organisation et qui se sont mis en conformité avec les lois actuelles de protection des données devraient être capables d'adapter facilement leurs processus et leurs contrats pour se mettre en conformité avec le nouveau règlement. Après s’être renseignée sur la loi de protection des données, si une entreprise devait découvrir qu'elle n’était pas au fait de la loi, ni assez préparée, alors il lui resterait peu de temps pour se mettre à niveau. La protection des données et la mise en œuvre du règlement devrait devenir la priorité de toutes les entreprises, avant que cela ne se retourne contre elles en mai 2018.