Les entreprises face à la protection des données

Le Règlement européen de protection des données : Mon Dieu, mais c’est demain !

Le Règlement européen 2016/679 sur la protection des données du 27 avril 2016, appelé Règlement Général « Data Protection » (RGDP) a pour objectif principal l’harmonisation de la protection des données personnelles pour chaque citoyen européen au sein de l’Union.

Le citoyen européen a ainsi le droit de décider si, quand, comment et à qui ses informations personnelles peuvent être divulguées, et comment elles peuvent être utilisées.

Alors en quoi cela concerne-­t-­il les entreprises ?
Que faut-il faire et quand pour être en conformité ?

 

Les règles de gestion de la protection des données personnelles par l’entreprise

Ce règlement vient chambouler les règles en matière de gestion de la protection des données et impacte directement les entreprises qui détiennent des données à caractère personnel.

Chaque entreprise devra assurer un haut niveau de sécurisation de ses données. Pour cela, dresser un diagnostic des données sensibles hébergées et manipulées dans l’entreprise.

Le champ est vaste puisque les données personnelles incluent toutes les informations qui permettent d’identifier, de manière directe ou indirecte, la personne à laquelle elles se rapportent. Elles comprennent également les identifiants de connexion, les cookies et les adresses IP. (Préambule considérant n°30).

 

Une mise en place au 25 mai 2018

Autre détail d’importance, de la micro-entreprise aux grandes entreprises, toutes ont obligation de se conformer à cette réglementation. Cependant, le règlement tient compte « des besoins spécifiques des micros, petites et moyennes entreprises » (article 40) et semble laisser une marge d’appréciation aux Etats à ce niveau-là.

Et pas question de se dire : «On n’est pas pressé, Bruxelles c’est loin,, on aura bien le temps de voir venir…». Absolument pas.

A la différence d’une Directive qui implique nécessairement une transposition au niveau national, le règlement s’applique à l’ensemble des pays sans modification, directement dans le cadre légal de chacun d’entre eux. Ces dispositions seront applicables dans l’ensemble des Etats membres de l’Union Européenne dès le 25 mai 2018 !

Il ne reste donc plus qu’une seule année aux entreprises pour se mettre en conformité avec le règlement européen.

 

Que risque l’entreprise en cas de manquement à ces nouvelles obligations ?

Les sanctions encourues sont bien plus importantes que sous la Directive relative à la protection des données de 1995.

Les amendes, plus dissuasives que jamais, vont jusqu’à 4% du chiffre d’affaires international du contrevenant ou 20 millions d’euros, pour quiconque enfreindrait les nouvelles règles de rétention des données.

Malgré cela :

  • Seulement 10% des entreprises estiment qu’elles seront parfaitement prêtes le jour J,
  • 97% des entreprises n’ont pas de plan d’action.

Soucieuse d’une telle situation la CNIL (Commission Nationale de l’Informatique et des Libertés) accompagne les entreprises dans cette démarche en mettant à disposition de nouveaux outils de mise en conformité, dans le but de renforcer la sécurité de leurs activités. Elle a notamment rédigé une feuille de route “Se préparer en 6 étapes” et compte assurer un suivi en temps réel dans ce processus.

Alors à vos marques, prêts, sécurisez !