Compte rendu : Conférence RGPD by EBG 1/3

Mardi 16 janvier à l’EGB s’est tenue la table ronde « RGPD : mesures phares, impact et organisation », animée par Dounia Zouine (Senior Manager chez Converteo). Retour sur cette matinée à travers une trilogie d’articles reprenant les 3 temps de cette table ronde :

1. Les mesures phares : rappel des principaux concepts du RGPD
Présentation des points clés de cette règlementation par maître Régis Carral, avocat associé du cabinet Hoche Société d’Avocat.

2. Impacts : un même règlement mais des implications différentes
Les entreprises détiennent différents types de données et ne les exploitent pas de la même manière. Quels sont les impacts de cette règlementation commune sur des entreprises aux structures et aux enjeux très différents ?

3. Organisation : comment mener des projets de mise en conformité ?
Immersion dans l’intimité des projets RGPD de différentes entreprises en s’intéressant à ce qu’elles ont choisi de prioriser et aux principaux changements auxquels elles font face.

Les mesures phares :  rappel des principaux concepts du RGPD

Introduction de maître Régis Carral (avocat associé du cabinet Hoche Société d’Avocat) au sujet des points clés de cette réglementation et du contexte de sa mise en place.

Maître Carral rappelle que le RGPD n’est pas seulement un exercice de compliance, mais également de valorisation. Il définit la donnée comme le « pétrole d’aujourd’hui », mais précise « à condition qu’elle soit propre ». En effet, la qualité de la donnée peut fortement influencer la valeur d’une entreprise à la hausse comme à la baisse. Dans le cadre d’une fusion ou d’un rachat, par exemple, la qualité des processus de traitement est devenue un argument de poids dans les négociations.

Les objectifs de cette nouvelle règlementation sont les suivants :

• Harmoniser la règlementation à l’échelle européenne
• Renforcer les droits et les obligations des acteurs concernés
• Donner confiance dans les NTIC (nouvelles technologies de l’information et de la communication) pour booster l’économie, la data étant identifiée comme un réel moteur de croissance
• Disposer de sanctions vraiment dissuasives

Champ d’application

Le RGPD est délimitée par un champ d’application matériel et territorial.

à Champ d’application matériel :

• Toute personne mettant en œuvre un traitement des données à caractère personnel est concernée par la règlementation
• Les données à caractère personnel sont toutes les informations qui se rapportent à une personne physique identifiée ou identifiable. Cette définition implique que toute donnée, qui peut permettre de détecter une identité de manière directe ou indirecte, devient une donnée à caractère personnel. À l’ère du big data et du croisement des données par algorithmes, de nombreuses données ont un caractère personnel.

à Champ d’application territorial :

• Toute personne qui agit en responsable du traitement ou en sous-traitant devra appliquer les principes de la RGPD dès lors que l’entité possède un établissement dans l’Union Européenne. Cette condition s’applique même lorsque le traitement des données a eu lieu en dehors du territoire européen.  Cela implique qu’il ne sera plus possible pour les entreprises d’échapper à la règlementation en sous-traitant le traitement des données à l’étranger
• La règlementation s’applique également à tout responsable du traitement ou sous-traitant situé en dehors de l’UE qui manipule des données appartenant à des personnes se trouvant dans l’UE
• Le RGPD s’applique à tous les formats de fichier (Word, Excel, etc.), et pas seulement aux bases de données en ligne.

Grands principes :

• Les principes applicables aux données : la transparence, la limitation des finalités, la minimisation des données, l’exactitude des données, la mise à jour, la limitation de conservation, la sécurité, l’intégrité, la confidentialité et la responsabilité (« principle of accountability ») sont les principes clés qui s’appliquent aux données. La minimisation des données consiste à ne collecter que les données pertinentes au regard du projet, ce qui est très difficile à définir en amont.
• Les principes applicables au traitement des données : il doit être licite. Les critères de licéité sont : le consentement libre et éclairé de la personne, la nécessité de collecte pour l’application d’un contrat ou la nécessité de collecte pour respecter une obligation légale.
• Droit des personnes concernées : certaines informations doivent être communiquées en amont de la collecte, parmi lesquelles les coordonnées du Data Protection Officer (DPO) et la durée de conservation. Les personnes concernées ont ensuite un droit d’accès, de rectification et d’effacement de leurs données.  En cas de non-respect de ces principes, elles peuvent recourir à l’autorité de contrôle.
• Principe de responsabilité : le responsable du traitement doit être capable de démontrer la mise en œuvre de procédés pour garantir l’application des principes précédemment cités. Cela impliquera la mise en place d’une gouvernance et d’une documentation au sein de l’entreprise, avec l’établissement d’audits, de rapports et de codes de conduite.

La tenue d’un registre n’est pas obligatoire pour les entreprises de moins de 250 salariés mais maître Carral souligne vivement l’intérêt de le faire pour être en mesure d’appliquer ce principe de responsabilité.

• Les sanctions augmentées : les pénalités en cas de non-respect de ces directives pourront aller jusqu’à 4% du chiffre d’affaires mondial de l’entreprise ou 20 millions d’euros.

Pour aller plus loin, Converteo vous propose d’assister à la formation RGPD & protection des données personnelles. Il s’agit d’une journée pour comprendre la nouvelle réglementation RGPD, les impacts concrets de celle-ci sur votre activité et votre organisation ainsi que les grandes étapes d’un projet de mise en conformité afin de construire votre feuille de route.

Auteur : Myriam Klikel, Consultante