Le nouvel enjeu des données personnelles !

Depuis le 25 mai 2018, une nouvelle réglementation est entrée en vigueur en France et dans tous les Etats Membres. La réforme visait trois objectifs, à savoir renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles ; responsabiliser les acteurs traitant des données (responsables de traitement mais aussi les sous-traitants) ; renforcer la coopération entre les autorités de protection des données (CNIL pour la France), qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et appliquer des sanctions en cas de violation.

Un an après l’entrée en vigueur du règlement général sur la protection des données, il est possible de faire un premier bilan et de vérifier si les objectifs sont en voie d’être atteints.

A la vérité, avant l’entrée en vigueur du nouveau règlement, les professionnels étaient sceptiques et peu croyaient aux changements. Les acteurs majeurs du monde économique prêchaient pour un immobilisme et pensaient que l’impunité pourrait perdurer encore quelques années. Pourtant, on peut le dire un an après, les choses ont changé !

Qu’est ce qui a changé avec l’entrée en vigueur du règlement européen ?

  • Les méthodes de travail des organisations 

Le règlement énonce un principe de responsabilité selon lequel les données à caractère personnel doivent être traitées sous la responsabilité du maître du traitement. Il doit veiller à la conformité de chaque opération de traitement et en apporter la preuve.

Aussi, afin d’assurer une protection optimale des données personnelles, les responsables de traitements et les sous-traitants doivent mettre en place des mesures de protection des données appropriées, mesures techniques et organisationnelles, et démontrer cette conformité à tout moment. La réglementation oblige donc toutes les organisations (entreprises, associations ou autres) à repenser la gestion de leur système d’information. La difficulté est donc de maîtriser tous les aspects y compris la conservation qui peut être domiciliée ailleurs que dans l’organisation. Il faut être conscient que peu d’entreprises peuvent gérer l’application du règlement seul. Il est donc préférable de faire appel à des spécialistes qui disposent d’un label CNIL afin d’être certain d’avoir la bonne méthode pour assurer la conformité et la conservation des données personnelles.

Certains spécialistes se sont déjà positionnés sur ce créneau, comme par exemple JurisExpert (https://www.jurisexpert.net), et ils pourront étudier avec vous l’étude d’impact de tous vos projets, des process à mettre en place pour être en conformité avec la réglementation et même la création du registre des activités de traitement ou du cahier des incidents permettant de justifier de toutes vos démarches en cas de contrôle inopiné. Il ne faut pas oublier que les organisations doivent communiquer toutes les failles de sécurité détectées aux autorités mais aussi aux personnes concernées.

Les entreprises ont intérêt à fiabiliser leurs process de sécurité pour éviter une notification qui pourrait avoir des conséquences très dommageables en termes d’image. Une formation est recommandée pour éviter des impairs lourds de conséquences.

  • Un nouveau métier : DPO

Le DATA PROTECTION OFFICER est l’un des principal changement opéré. Depuis le 25 mai 2018, le nombre de DPO a massivement augmenté, ce qui ouvre un nouvelle époque : celle de la professionnalisation de l’usage des données personnelles.

Connaitre ses données est un nouveau défi pour les entreprises et même les Etats. Les données prennent de la valeur dès lors qu’elles sont connues et qu’on peut les travailler pour en tirer profit. En France, les dernières données transmises révèlent plus de 19 000 DPO pour 53 000 organisations. Les responsables de traitement peuvent opter pour un délégué à la protection des données mutualisé ou externe. C’est ainsi qu’en France, les entreprises mutualisent pour la plupart leur DPO ou mandatent des avocats spécialistes de la matière.

Le rôle du DPO est majeur. Il est chargé : d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés ; de contrôler le respect du règlement européen et du droit national en matière de protection des données; de conseiller l’organisme sur la réalisation d’une analyse d’impact (PIA) et d’en vérifier l’exécution et enfin de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

  • Les sanctions et le nombre de plaintes

Le public a bien compris l’impact de cette réglementation et n’hésite pas à déposer plainte auprès de la CNIL en cas de violation du règlement. Le nombre de plaintes a cru de plus de 30% depuis le 25 mai 2018 ! Par ailleurs, les premières sanctions sont déjà tombées pour crédibiliser le système. La différence entre les professionnels aux yeux des consommateurs est en train de se créer sur le traitement des données. Près de 7 français sur 10 déclarent avoir confiance dans la sécurisation de leurs données personnelles par leur banque, par exemple. Beaucoup d’entreprises rêveraient d’avoir un si bon taux de confiance. Ceux qui prennent du retard ne pourront plus rattraper les meilleurs élèves ! La balle est dans le camps des professionnels !

Il est toujours bon de rappeler que les organismes, organisations ou associations à but non lucratif, actives dans le domaine de la protection des droits et libertés des personnes en matière de protection des données, peuvent introduire des recours collectifs en matière de protection des données personnelles. Enfin les sanctions sont lourdes et font comprendre l’importance de la matière : le montant de l’amende doit être fixé, dans chaque cas, en fonction de la situation spécifique, compte dûment tenu, notamment, de la nature, de la gravité et de la durée de l’infraction. Ces amendes pourront atteindre, dans certaines hypothèses, 10 000 000 d’euros ou, s’agissant d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. A bon entendeur !

Informations du document

  • Date de création du document : 06/09/2019
  • Date de dernière révision du document : 06/09/2019
  • Document rédigé par un(e) juriste : oui