Vidéo : quels sont les enjeux du RGPD pour les entreprises ?
Au quotidien, les entreprises traitent de nombreuses données personnelles. Face à l'entrée en vigueur de la nouvelle réglementation européenne sur la protection des données personnelles en mai 2018 ("RGPD" ou "GDPR" en anglais), les entreprises doivent faire face à de nouveaux enjeux : obligation de transparence renforcée, constitution d'une gouvernance et d'un inventaire interne des données. Elles vont devoir se doter de nouveaux outils et d'organisation pluridisciplinaire pour s'y conformer, destinés à irriguer dans les divers métiers de l'entreprise, une culture commune de la protection des données.
Comment préparer son entreprise à la nouvelle règlementation ?
La nouvelle règlementation a instauré une obligation de transparence renforcée vis-à-vis des personnes. Ce principe exige que toutes les informations et les communications relatives aux données personnelles soient concises, facilement accessibles, faciles à comprendre et formulées en des termes clairs et simples. Cela vaut pour tout type d'information (identité du responsable de traitement, finalités du traitement etc.).
Il est essentiel pour chaque entreprise d'installer une " gouvernance " des données personnelles. Chacune des directions de l'entreprise (Ressources Humaines, Directions opérationnelles, Marketing, Innovation, Sécurité, Informatique, Contrôle de gestion, Comptabilité, Finance, etc) devra participer à la constitution d'une "cartographie" des données personnelles traitées par l'entreprise. A la coordination de cette gouvernance, et quand cela est obligatoire, l'entreprise désignera un "Data Protection Officer" ou délégué à la protection des données personnelles (DPO). Sans être le garant du respect à la règlementation, il doit permettre à l'entreprise de se coordonner.
La désignation d'un DPO est obligatoire sous certaines conditions (article 37 RGPD) : lorsque le traitement est effectué par une autorité publique ou un organisme public, lorsque les activités de base exigent un suivi " régulier et systématique à grande échelle des personnes " ou lorsqu'il s'agit d'un traitement à grande échelle de données sensibles (données de santé, sur la religion...) ainsi que des données relatives à des condamnations pénales et à des infractions.
La constitution d'un inventaire est également indispensable pour rendre compte de ses activités, préalable à l'examen de la conformité au règlement. Cette documentation factuelle et descriptive doit répondre aux questions suivantes : quels types de données sont traitées par chaque métier, pourquoi sont-elles traitées, de quelle source proviennent-elles, de quelle information des personnes ont-elles fait l'objet, pour leur offrir quels droits, envers qui ces données sont-elles accessibles (pourquoi et comment) en interne et en externe (autre société d'un groupe, prestataires, partenaire commerciaux) et (last but not least) pendant combien de temps ?
Bien que cet inventaire ne soit pas en lui-même l'instrument suffisant d'une conformité de fond au règlement, il permet une meilleure connaissance des données traitées, aide à l'innovation et permet de faire les choix nécessaires à des fins de mise en conformité. Dans un objectif de transparence, la synthèse de cet inventaire doit être mise à disposition des régulateurs et de quiconque le demanderait.
Par la suite, l'entreprise devra organiser un processus interne pour se mettre en conformité : compléter les mentions d'information des personnes, prévoir des clauses types dans les contrats passés avec les prestataires pour assurer la sécurité des données et se préparer à gérer les risques d'une faille de sécurité. En effet, en cas de faille susceptible d'engendrer un risque pour les droits et libertés des personnes (exemple : vol de données), l'entreprise a 72h (trois jours non ouvrés) à compter de sa découverte pour en faire le diagnostic et en rendre compte auprès du régulateur lorsque des risques pour la vie privée des personnes sont prévisibles.
Quelles sanctions en cas de manquement ?
Les sanctions administratives en cas de manquement des entreprises au respect de leurs obligations se sont extrêmement alourdies. Alors que la loi "informatique et Liberté" de 1978 imposait jusqu'en octobre 2016 une sanction administrative maximal de 150.000€, la nouvelle réglementation prévoit des sanctions pouvant aller jusqu'à 4% du chiffre d'affaire annuel mondial, sans parler des sanctions pénales. Se conformer à la nouvelle réglementation est donc un enjeu capital pour les entreprises.
Le premier risque n'est pas réglementaire, il est concurrentiel
Au-delà du risque juridique, c'est le risque de réputation et de compétitivité qui doit animer les décideurs. Perdre la confiance des personnes ou ne pas susciter celle de ses partenaires commerciaux lorsqu'ils demandent des garanties de conformité ou de sécurité, constitue un risque plus immédiat, qui précède l'intervention d'un régulateur et les arcanes d'un processus d'enquête.
Généralement, un risque se mesure à son intensité et à sa répétition. Depuis 2016 au moins, il est intensément et constamment question du RGPD dans les relations entre les entreprises. Celles qui ne se seront pas préparées à négocier des contrats exigeant d'elles des garanties de conformité, perdront des marchés face à un concurrent mieux préparé. Celles qui ne sauront pas répondre aux demandes des consommateurs ou des médias échoueront au test populaire de la confiance.
Si vous doutez encore qu'il faut investir à bon escient dans le RGPD et sans dépenser à fonds perdus dans une conformité punitive, songez un instant que votre impréparation vous coûtera à coup sûr plus cher qu'une préparation axée sur la performance de votre entreprise. Même sans la menace de sanctions administratives.
Choisissez vos prestataires et conseils non pas en fonction des questions qu'ils peuvent vous aider à vous poser, mais en fonction des réponses qu'ils peuvent vous apporter pour faire de cet investissement un avantage compétitif réel axé sur vos désirs d'innovation "responsable" : d'abord, ne rien s'interdire, ensuite, ne rien négliger. La qualité de l'offre, la psychologie du consommateur, la réactivité face aux critiques, la priorisation des menaces, l'offre de la concurrence, le risque réglementaire, n'ont rien de nouveau dans les leviers de décision. Il suffit de lire le RGPD sous ces prismes.
Le RGPD va s'installer durant au moins une décennie, au rythme où vont les cycles réglementaires. Il va rendre les entreprises davantage transparentes aux yeux de tous, qu'elles y soient préparées ou non. Il n'est plus temps de bredouiller des affirmations creuses dont seuls les juristes auraient la responsabilité.
Texte de Etienne Drouard et Marine Forget