Protection des données personnelles : les entreprises doivent se préparer !

Protection des données personnelles : les entreprises doivent se préparer !

Tribune-Protection-donnees-personnelles-qui-changer-PME-F

Ce texte va entraîner une évolution substantielle de la réglementation nationale jusque-là applicable. Reste donc aux entreprises à mettre à profit l’année qui vient pour faire évoluer leurs pratiques afin de les rendre conformes aux nouvelles exigences européennes. Un chantier plus complexe qu’il n’y paraît…

DES DROITS RENFORCÉS…

Le premier droit des personnes qui se trouve renforcé par le règlement est le droit à l’information. Les entreprises qui administrent un fichier contenant des données personnelles doivent ainsi se soumettre à une obligation dite « de transparence », précise le texte. « Les entreprises doivent être en mesure de fournir à toute personne les informations relatives aux traitements dont elle fait l’objet. En plus du droit à l’information, les conditions de recueil du consentement ont également été consolidées.

DE NOUVEAUX DROITS

Le règlement instaure également de nouveaux droits. Le premier, le droit à la portabilité, va permettre à toute personne de récupérer les données auprès de l’entreprise qui les détient, pour, le cas échéant, les communiquer à une autre entité. Enfin, il faut également noter l’introduction de la possibilité de lancer une action collective à l’encontre d’un responsable de traitement.

RESPONSABILISATION DES ENTREPRISES

Le nouveau règlement inaugure un changement d’approche en passant d’un principe de déclaration préalable et de demande d’autorisation à une logique de responsabilisation des entreprises et de leurs éventuels sous-traitants (hébergeur cloud par exemple). C’est ainsi aux entreprises que reviendra, par défaut, l’obligation de mettre en œuvre les moyens et les processus nécessaires pour garantir une protection optimale des données personnelles stockées. Dans la pratique, cela devrait la conduire à initier des missions de contrôle de la conformité des traitements afin de limiter les risques de sanction.

UNE GESTION EFFECTIVE

Dans l’objectif de permettre l’exercice du droit à l’information des personnes mais aussi de faciliter les contrôles de la Cnil, les entreprises administrant des fichiers de données personnelles seront bientôt dans l’obligation de tenir un registre. Elles devront également, dans l’hypothèse où elles envisageraient de mettre en œuvre des traitements dits à risque (données ethniques, politiques, biométriques…), mener, de manière préalable, une étude d’impact complète sur la vie privée des personnes concernées.

S’il apparaît que les risques restent importants, l’entreprise devra consulter la Cnil avant de mettre en œuvre le traitement. Enfin, les entreprises devront notifier à la Cnil et aux personnes
« fichées » les failles de sécurité détectées lors de la gestion du fichier.

SE LANCER SANS ATTENDRE

Le sujet est à la fois juridique, technologique, méthodologique et mêle plusieurs directions de l’entreprise. Beaucoup de chantiers doivent ainsi être mis en œuvre : inventorier les traitements, refondre les processus et les pratiques, évaluer les risques, réaliser, le cas échéant, des études d’impact, organiser des actions de sensibilisation et de formation, se coordonner avec les sous-traitants… Cette nouvelle réglementation s’accompagne par ailleurs d’un durcissement des sanctions. Ainsi, en cas de manquement grave, une amende maximale
de 20 millions d’euros ou correspondant à 4 % du chiffre d’affaires réalisé par l’entreprise incriminée pourra être appliquée.
Alors, prenez vos dispositions !

Romain Maillard, Senior Manager, BDO

BDO, cabinet d’audit et de conseil leader à
Versailles, et présent dans 40 bureaux en
France et 157 pays dans le monde. Pour en
savoir plus : contact@bdo.fr et
https://www.bdo.fr/.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s