13 octobre 2017

Le nouveau Règlement européen sur la protection des données entre en application le 25 mai 2018.

PARTAGER

Or, beaucoup d’entreprises ne sont pas encore prêtes pour son application. Pour répondre à cette problématique, Vauban vient de renforcer son équipe IP/IT avec l’arrivée de Pierre-David Vignolle, Avocat et Délégué à la protection des données.


Pierre-David peux-tu nous présenter ton parcours ?

Précédemment, j’ai occupé les fonctions de responsable juridique au sein du Groupe Sanef, en tant que responsable du Département Concessions – Projets – Innovations. J’étais par ailleurs Correspondant informatique et libertés pour l’ensemble des sociétés du Groupe Sanef. Je pilotais également le portefeuille propriété intellectuelle du Groupe Sanef. J’ai travaillé sur des grands projets technologiques publics pour la mise à péage d’infrastructures de transport en France et à l’international (PPP, PFI, concessions). Mon expérience de 15 ans s’inscrit à la croisée des chemins du droit privé et du droit public dans un contexte national et international. Je suis titulaire d’un DESS en doit de la propriété industrielle de l’Université Paris II, d’un Master 2 en droit des obligations civiles et commerciales de l’Université Paris V et du Mastère Spécialisé « Management et protection des données à caractère personnel de l’Isep ».

Depuis mon arrivée au barreau, j’accompagne les entreprises de tous secteurs sur les problématiques de nouvelles technologies, notamment en matière de données à caractère personnel.

Tu intègres le cabinet alors que se profile dans les prochains mois l’entrée en application du nouveau Règlement européen sur la protection des données. Peux-tu nous en dire davantage ?

En effet, en mai 2018 entre en application le Règlement Général sur la Protection des Données (le « RGPD »). C’est un règlement européen sur la protection des données personnelles qui va s’appliquer de manière uniforme sur l’ensemble du territoire européen.

Ce règlement a pour vocation de renforcer les droits et la protection des personnes physiques quant aux traitements de leurs données à caractère personnel par les organismes publics ou privés. Il va donc modifier en profondeur la Loi « informatique et libertés » et imposer des obligations nouvelles aux entreprises.

Deux points sont marquants dans cette nouvelle réglementation.

Tout d’abord, les amendes administratives sont augmentées de manière significative puisqu’elles peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial (le plus élevé étant retenu). La responsabilité pénale de l’entreprise subsiste, puisque les principaux manquements à la législation sur les données personnelles sont passibles de 5 ans d’emprisonnement et 300 000 € d’amende (amende qui peut être multipliée par 5 quand il s’agit de personnes morales).

Ensuite, le nouveau règlement européen met l’accent sur l’obligation pour chaque entreprise de mettre en place des systèmes de prévention et de documenter le fait que celle-ci a mis en œuvre les moyens et les outils pour respecter les données personnelles qu’elle traite. C’est ce que l’on appelle l’« accountability ».

Le « RGPD » comporte bien d’autres obligations, assez complexes, en matière de traitement des données à caractère personnel. C’est pourquoi, les entreprises ont tout intérêt à faire un état des lieux de leurs pratiques et de s’adjoindre les services d’un Délégué à la protection des données (ne serait-ce qu’à temps partiel).

Oui, mais, l’urgence est-elle la même selon le domaine d’activité et la taille de l’entreprise ?

Je ferai tout d’abord une remarque générale. La protection des données à caractère personnel est ressentie par tous les citoyens comme un enjeu essentiel dans une société où le numérique est omniprésent. Lorsque vous faites un paiement sur Internet, lorsque vous consultez votre messagerie, lorsque vous vous connectez à votre espace client, avez-vous déjà pris conscience des conséquences si vos données sont usurpées ? L’urgence de se mettre en conformité, c’est donc avant tout préserver ses clients, ses salariés.

Pour répondre de manière plus précise à la question, le RGPD s’applique indistinctement à toutes les entreprises (petites, moyennes ou grandes). Toutes les entreprises manipulent plus ou moins de données à caractère personnel, c’est un fait. Les mesures prises pour se conformer à la réglementation doivent donc, bien sûr, être adaptées et proportionnées à chaque entreprise.

Il n’en reste pas moins que la Commission nationale informatique et libertés (Cnil), l’autorité de contrôle en la matière, ne fait aucune différence en cas de manquement avéré. Il y a quelques temps, c’est encore un dentiste qui s’est fait condamner à une amende de 10 000 € suite à une simple plainte de l’un de ses patients qui s’était vu refuser l’accès à son dossier médical.

La Cnil est aussi de moins en moins permissive. Aujourd’hui, clairement, pour certains manquements elle n’accordera plus nécessairement de délai de mise en conformité. C’est le cas par exemple pour la structure des mots de passe qui permettent d’accéder à des applications informatiques.

Enfin, le RGPD est entré en vigueur le 24 avril 2016 et entre en application le 25 mai 2018. Les entreprises ont donc deux ans pour se mettre en conformité. Le 25 mai 2018, il sera donc très difficile de demander un délai supplémentaire.

Quelles solutions pratiques et concrètes peux-tu apporter à nos clients ?

Il faut prendre en compte le degré de maturité de l’entreprise sur la protection des données et sa spécificité. Les solutions ne seront pas les mêmes s’il s’agit d’une activité BtoB ou BtoC ou d’une profession indépendante.

Une première réunion d’information avec le client permet d’instaurer un échange afin de dimensionner au mieux et de façon réaliste le chantier de mise en conformité.
La première étape sera donc de conduire un audit dont le périmètre aura été déterminé préalablement avec le client. Il permettra surtout d’identifier les zones de risques et de non-conformité et de mettre en face des recommandations concrètes.

Ensuite, le Cabinet Vauban peut assister l’entreprise pour l’implémentation de ses recommandations au travers d’un plan de mise en conformité. Le Cabinet peut également assister l’entreprise dans la mise en place de tout nouvel outil technologique par le biais d’étude d’impact sur la vie privée.

Enfin, le Cabinet Vauban assume des missions de Délégué à la Protection des Données (DPO, Data Privacy Officer) externe qui permettent à l’entreprise d’avoir une surveillance de sa conformité dans la durée, avec un budget maîtrisé.

 

Merci Pierre-David pour vos éclaircissements sur la protection des données. Il ne reste donc plus que 6 mois aux entreprises pour se mettre en conformité au règlement européen !

Inscrivez-vous à notre newsletter