La réglementation européenne sur la protection des données entrera officiellement en vigueur le 25 mai 2018 avec son lot de sanctions pour toutes les entreprises qui ne respecteront pas les dispositions édictées le parlement Européen. Et vous, où en êtes-vous ?

L’échéance semblait lointaine, lorsqu’en 2016, le Parlement adoptait l’ensemble des dispositions censées renforcer les droits des citoyens européens et leur offrir davantage de contrôle sur leurs données personnelles. La réglementation prévoit ainsi toute une batterie de mesures qu’entreprises et organisations doivent impérativement respecter :

  •  le « Privacy by design » (respect de la protection des données dès la conception) (Règlement, art. 25 §1) ;
  •  le « Security by default » (sécurité par défaut) (Règlement, art. 25 §2) ;
  •  les règles d’accountability (obligation de documentation) (Règlement, art. 24) ;
  •  l’étude d’impact avant la mise en œuvre de certains traitements (Règlement, art. 35) ;
  •  la désignation obligatoire d’un Data Protection Officer (DPO) (Règlement, art. 37) ;
  •  les nouveaux droits fondamentaux des personnes (droit à l’oubli, droit à la portabilité des données, etc.) et l’indispensable transparence sur la violation des données.

Désormais, il faudra signaler à l’autorité de contrôle nationale, les violations de données qui font courir un risque aux données personnelles. Les entreprises devront communiquer, au plus tard 72 heures après l’identification du problème, toutes les violations à haut risque. Ainsi, les utilisateurs pourront prendre des mesures appropriées.

Des entreprises en retard !

Le chantier est vaste, et il était annoncé… Et pourtant ! Une récente étude réalisée par le cabinet Gartner révèle que plus de 50% des entreprises concernées ne seront pas prêtes pour l’échéance du 25 mai 2018. Une situation qui pose un sérieux problème d’autant que les sanctions prévues n’ont rien d’anecdotique.

« Les sanctions administratives sous forme d’avertissements et d’amendes notamment, explique Maître Muriel Cahen, avocat spécialiste en Droit de L’informatique et en Droit de l’Internet, sont prévues en cas de non-respect de la réglementation ».

Par exemple, une amende de 20 millions d’euros ou de 4 % du chiffre d’affaires mondial de l’entreprise est prévue en cas d’infraction aux règles applicables au consentement ou encore en cas d’infraction aux transferts de données personnelles hors de l’Union européenne.

« Ces peines encourues par les entreprises qui ne satisferaient pas à l’ensemble des dispositions de la réglementation sont sévères. Il est donc primordial pour les entreprises de bien se renseigner et de prendre des mesures pour se mettre en conformité avec la nouvelle réglementation européenne qui entrera en vigueur dans moins d’un an ».

Et n’espérez pas trop de tolérance, de délais et de compréhension dans l’application des sanctions : « Le G29 a déployé un plan d’action afin de préparer la mise en place du Comité européen de la protection des données qui le remplacera en 2018. La CNIL française participe à ce groupe de travail. Ainsi, malgré le retard que les entreprises ont pris en la matière, les sanctions seront certainement appliquées. En effet, les entreprises sont informées et guidées dans leur mise en conformité au règlement. Prévenues, informées et guidées, elles doivent donc prendre des mesures plutôt que risquer de se voir appliquer les sanctions prévues », observe Maître Cahen.

Réagir… dans les plus brefs délais

Si vous n’avez pas encore pris le problème à bras le corps, il est temps de vous en préoccuper sérieusement. « Les entreprises doivent repenser la manière dont elles collectent, traitent et stockent les données personnelles », indique Maître Cahen. Il n’est pas forcément question d’agir seul. « Les entreprises peuvent vérifier auprès de leurs prestataires informatiques que pour chaque donnée collectée, le consentement de l’utilisateur est bien recueilli », continue la juriste. Renseignez-vous également sur le lieu où sont stockées les données personnelles pour prendre les mesures adéquates. En plaçant toute la chaîne de valeur face à ses responsabilités, vous avancerez sans doute plus vite pour rattraper votre retard ! Il vous faudra également désigner, au sein de vos effectifs, une personne chargée de s’assurer de la protection des données collectées. Un référent officiel, qui deviendra dès le 25 mai 2018, le DPO (Data Protection Officer). Lorsque vous satisferez à l’ensemble des obligations, « les entreprises pourront peuvent demander un certificat européen, valable 5 ans, attestant leur conformité au nouveau règlement », indique Maître Cahen.