Décidé en 2015 et prévu pour mai 2018, le RGPD — Règlement Général sur la Protection des Données – (GDPR en anglais) vise à simplifier, harmoniser et renforcer la protection des données personnelles sur l’ensemble du territoire européen. Ce règlement devra être appliqué de manière systématique par toutes les entreprises et les organismes qui collectent, traitent et stockent des données personnelles de résidents de l’UE.
Au-delà de sa finalité, qui est notamment de garantir le droit de chacun à la protection de ses données personnelles et de consolider le droit des personnes physiques dans une société devenue numérique, ce nouveau règlement, qui repose sur une logique de responsabilisation des acteurs traitant les données (accountability), impose de nouvelles contraintes aux entreprises. Celles-ci doivent actuellement se mettre en conformité pour éviter de futures sanctions.
Quels sont les risques pour celles qui ne le respecteront pas ? Que doivent-elles faire en priorité pour être en conformité ?
Quels risques à ne pas respecter la nouvelle réglementation RGPD ?
Le premier défi du RGPD est de réussir à convaincre les entreprises d’assurer la sécurité des données et de réguler le stockage et le transfert de données hors UE. Afin de crédibiliser les dispositions du nouveau règlement, l’Union européenne met en place diverses sanctions applicables aux entreprises non conformes.
- Le premier type de sanction est de nature financière
Depuis plusieurs années, les lois successives en la matière ont échoué sur ce terrain. Le montant maximum des amendes pouvant être prononcées par la CNIL, jusqu’à 150 000 puis 3 000 000 euros depuis la loi du 7 octobre 2016 pour la République Numérique, n’ont pas su infléchir les politiques des entreprises en matière de protection des données personnelles. En effet, pour les géants du web américain tels que Google, ces amendes ne représentent que quelques minutes de chiffre d’affaires. Il devenait ainsi vital de durcir les sanctions pour assurer une meilleure protection des citoyens dans la société numérique.
Ainsi, l’entrée en vigueur du RGPD en mai 2018 augmentera drastiquement le montant des amendes en cas d’infraction. Celles-ci pourront aller, selon les infractions, jusqu’à 20 millions d’euros du chiffre d’affaires ou jusqu’à à 4% du chiffre d’affaires global du groupe pour les grandes entreprises : plusieurs milliards de dollars pour un acteur américain du Web ! - Dépôt de plainte
Les entreprises pourront également faire l’objet de plainte de la part d’anciens collaborateurs, représentants syndicaux, clients… pour des problèmes liés au stockage des données. Par exemple, un syndicaliste qui sait qu’une personne recense les activités des collaborateurs sans respecter la notion d’anonymat, pourra porter plainte pour le non-respect de la confidentialité des données.
Enfin, les entreprises qui ne respecteraient pas cette nouvelle réglementation subiraient un désavantage concurrentiel. La conformité au RGPD pourrait ainsi devenir un critère de sélection dans la mise en place d’une collaboration.
Comment devenir conforme au RGPD ?
Pour se mettre en conformité, il est conseillé pour les entreprises d’adopter une méthodologie de gestion de projet comprenant une équipe, un budget et un calendrier. Comme pour tout projet, la mise en conformité suit différentes étapes :
- Sensibiliser la direction générale aux enjeux, au planning et aux sanctions du RGPD pour créer une dynamique favorable au changement et anticiper d’éventuels conflits d’intérêt, par exemple autour de l’anonymisation des documents RH.
- Désigner un « chef de projet » – pour certain type d’entreprise, la nomination d’un Délégué à la protection des données (DPO) devient même obligatoire. Celui-ci aura pour rôle de garantir et d’orchestrer la mise en place de la loi. Il sera naturellement en contact avec chaque responsable (RH, marketing, financier) pour relayer en interne les actions à mettre en place. Il aura aussi pour mission d’informer les salariés et les partenaires de l’entreprise de la mise en conformité et des nouveaux process à suivre vis-à-vis de la gestion des données.
- Une fois la Direction Générale sensibilisée et le chef de projet désigné, l’entreprise devra recenser et lister l’ensemble des traitements de données personnelles, leur conservation ou modification par exemple (salariés, clients, partenaires, etc). Dans ce cadre, un registre des traitements devra être créé et mis à jour pour indiquer où les données sont hébergées, pendant combien de temps, avec quelles mesures de sécurité, etc. Les traitements doivent être recensés par objectif (la gestion des recrutements par exemple) et pas par application : c’est l’une des principales difficultés à affronter.
- Le chef de projet devra mettre en place des procédures internes pour clarifier le type, la gestion, la conservation et la protection des données personnelles à traiter en fonction du contexte. Ces procédures permettront ainsi de répondre aux requêtes des personnes physiques sur leurs données personnelles et assurer que celles-ci soient toujours accessibles.
- Préparer un outil de reporting pour démontrer sa conformité au RGPD et prouver sa bonne foi en cas de problème.
La mise en conformité des entreprises est loin d’être insurmontable. Toutefois, il est indispensable pour elles d’avoir à l’esprit les risques encourus en cas de non-conformité et d’anticiper les étapes à suivre et les outils à mettre en place.
Rédigé par Jérôme Freyermuth, Marketing Senior Manager Telehouse