4 points du règlement sur la protection des données à anticiper

Publié par Floriane Salgues le 21 juin 2017 | Mis à jour le 27 juin 2017 à 10:55

A moins d'un an de l'entrée en vigueur de la réglementation sur la protection des données personnelles, la feuille de route des marques est chargée. Voici les articles à ne pas louper pour espérer être prêt en temps et en heure.

Je m'abonne

Imprimer

Tic, tac... Le règlement sur la protection des données personnelles (GDPR, en anglais ou RGPD, en français) entrera en vigueur le 25 mai 2018. Mais, la route de la mise en conformité semble encore longue pour les professionnels, comme en témoigne la matinée d'échanges sur la GDPR organisée par Business & Décisions, le 21 juin. "Le respect des données personnelles n'était pas un sujet pour les entreprises, aucun budget - ou très peu - n'y était jusqu'à présent consacré", relève Mick Lévy, directeur de l'innovation business chez Business & Décision, avant de mettre en garde les entreprises : "la phase d'organisation du projet et d'implication des collaborateurs doit avoir commencée avant les vacances d'été." Encore faudra-t-il, ensuite, cartographier ses données, évaluer les risques et établir une roadmap... avant d'adapter les systèmes d'information et de mettre en oeuvre la sécurité et la gouvernance des données. Le timing est donc serré.

Le règlement sur la protection des données personnelles comporte 99 articles, rappelle Business & Décisions, qui a choisi de détailler les articles les plus "iconiques".

- Responsabilité et "accountability" (article 5)

L'article 5 du règlement sur la protection des données est consacré à un sujet placé au coeur des préoccupations des directions marketing : le traitement des données à caractère personnel. "Cet article vise à responsabiliser les entreprises, dans la mesure où celles-ci n'effectuent plus de déclaration à la CNIL, rappelle Cécile Theard-Jallu, avocate associée de De Gaulle-Fleurance & Associés, mais que l'organisme de contrôle peut à tout moment leur demander des comptes." L'idée : les entreprises doivent suivre tous les projets concernant la donnée et connaitre tous les flux de data (identifier où sont les données personnelles dans les SI, notamment).

Pour être en conformité avec le texte, les marques se doivent donc, notamment, de collecter des données personnelles "pour des finalités déterminées, explicites et légitimes", mais également de manière "limitée à ce qui est nécessaire au regard des finalités". Aussi, les données doivent être exactes et tenues à jour, et "conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées". Mick Lévy, directeur de l'innovation business chez Business & Décision, conseille de se documenter, de réaliser une cartographie des données ainsi qu'un dictionnaire des données personnelles. "Il faut également mettre en en place des systèmes de traçabilité des données dans le SI, poursuit-il, depuis la collecte jusqu'à la restitution."

La responsabilité du bon traitement des données à caractère personnel incombe au responsable du traitement de la donnée dans l'entreprise, mais également - c'est la nouveauté - aux sous-traitants qui pourraient avoir accès à ces données personnelles. En cas de non-respect du texte, les entreprises seraient alors sous le joug de deux jeux de sanction financières, ainsi que confrontées à des sanctions opérationnelles (à l'instar de l'effacement des données). Les marques n'ayant pas nommé de DPO (voir point 4), ou établi de registre de données, encourent une sanction de 10 millions d'euros (ou 2 % du chiffre d'affaires global) ; celles n'ayant pas prévu de traitement pour les données sensibles ou ayant transféré des données hors de l'Union Européenne de 20 millions d'euros (ou 4 % du chiffre d'affaires global).

- Sécurité des données et des traitements (article 32 à 34)

Le règlement impose au responsable de traitement de la donnée d'organiser la sécurité des données à caractère personnel dès la conception du produit ou du service (privacy by design). Cela suppose la mise en place de "mesures techniques et opérationnelles", telles que la pseudonymisation et le chiffrement de données à caractère personnel ; la garantie de la confidentialité et de la disponibilité des systèmes et des services de traitement ; les moyens de rétablir la disponibilité de données à caractère personnel et l'accès à celles-ci "dans des délais appropriés en cas d'incident physique ou technique", rappellent les experts.

- Droit des citoyens (article 11 à 22)

Reprendre le pouvoir sur ses données personnelles, en tant que citoyen... Telle est bien la base du règlement sur la protection des données. "Le règlement réaffirme des droits existants, explique Cécile Théard-Jallu, comme le droit d'accès aux données ou le droit d'être informé. Mais, le texte ouvre également de nouveaux droits tels que la portabilité ou le droit à l'oubli." Des droits auxquels les métiers doivent s'adapter, comme l'explique Mick Lévy : "Un individu peut demander à ne plus recevoir d'email marketing. Il faudra alors supprimer l'information client du système d'information, tout en conservant celle-ci dans un autre SI."

- Data Protection Officer (DPO) (article 30 et 35 à 39)

La nomination d'un Data Protection Officer (DPO) est également une obligation du règlement sur la protection de données, pour les responsables de traitement et les sous-traitants du secteur public, ou ceux réalisant du profiling ou traitant des données sensibles à grande échelle. Sa mission : contrôler, sensibiliser, former, être en contact avec l'autorité de décision ou, encore, mettre en place des registres de traitement. "Le DPO est le chef d'orchestre de la mise en conformité", confirme Mick Lévy.