La protection des données à caractère personnel : les entreprises face à leurs nouvelles obligations

Le règlement général sur la protection des données constitue le nouveau texte de référence en la matière à l'échelle européenne. Adopté le 27 avril 2016, il entrera en application à compter du 25 mai 2018. Les entreprises n’ont plus qu’un an pour évaluer leurs systèmes de traitement des données et s’adapter aux nouvelles règles.

© Shutterstock

Le règlement général sur la protection des données constitue le nouveau texte de référence en la matière à l'échelle européenne. Adopté le 27 avril 2016, il entrera en application à compter du 25 mai 2018. Les entreprises n’ont plus qu’un an pour évaluer leurs systèmes de traitement des données et s’adapter aux nouvelles règles.

La collecte et le stockage de données à caractère personnel sont essentiels pour les sociétés dans leur stratégie de développement, notamment dans leur offre de personnalisation de services. Ces données sont aussi devenues une véritable monnaie d’échange, ce qui n’est pas sans préoccuper les Européens, fournisseurs malgré eux de cette matière première. Si ces pratiques s’intensifient, elles doivent être juridiquement encadrées afin d’éviter toute dérive. La protection des données personnelles est actuellement régie en France par la loi du 6 janvier 1978 et la directive européenne 95/46/CE du 24 octobre 1995. Dans les vingt-huit États-membres de l’Union, les règles applicables divergent et manquent de cohérence. Cette fragmentation des différentes lois en vigueur entraîne une charge administrative onéreuse qui complique l’accès des sociétés à de nouveaux marchés et un niveau de protection inégal des personnes. Il aura fallu aux États-membres de l’Union européenne plus de quatre ans de négociations pour parvenir à un nouveau texte permettant à l’Europe de s’adapter aux réalités transfrontalières du numérique mais surtout d’uniformiser l’actuelle mosaïque de législations nationales.

 

Les entreprises sur un pied d’égalité

Le nouveau règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données supprime les obstacles aux échanges transfrontaliers. La réforme a été pensée afin de permettre aux entreprises de regagner la confiance des consommateurs dans l’utilisation de leurs services ainsi que d’apporter un avantage potentiel aux entreprises européennes face à la concurrence internationale. Les entreprises doivent cependant recueillir le consentement de l’internaute avant toute collecte de données et l’informer sur l’utilisation de celles-ci. Elles sont par ailleurs encouragées (mais pas encore obligées) à recourir à des techniques telles que l’anonymat, la pseudonymisation et le cryptage afin de parfaitement protéger les informations recueillies. À noter que la territorialité du droit européen de la protection des données se construit désormais autour de la personne et non plus autour du territoire d’implantation des sociétés. Les entreprises établies en dehors de l’UE ciblant des citoyens européens devront donc également respecter l’ensemble des principes du nouveau règlement.

 

La désignation d’un délégué à la protection des données

Autre conséquence : l’établissement d’un « guichet unique » chargé de faire respecter les règles. Les entreprises n’auront donc plus qu’un seul interlocuteur responsable de la protection des données : l’autorité du pays où le siège de la société est établi. Toutes les entreprises qui traitent des données, y compris les PME aux activités présentant des risques spécifiques liés à la data protection, devront désigner un délégué à la protection des données, futur interlocuteur de référence auprès de la Cnil. Selon l’Autorité française de contrôle en matière de protection des données personnelles, entre 80 000 et 100 000 entreprises publiques et privées seront concernées. À titre de comparaison, aujourd’hui en France, seules 17 000 sociétés comptent un correspondant informatique et libertés dans leurs rangs. Les entreprises seront dans l’obligation de tenir un registre précis des données personnelles collectées auprès de leurs clients et, en cas de faille de sécurité, elles devront le signaler dans les 72 heures suivant le piratage auprès de la Cnil locale et aux personnes concernées par ce vol de données.

 

Un durcissement des sanctions

Les entreprises se préparent dès maintenant à mettre en place de nouvelles procédures pour être en accord avec le nouvel ensemble de règles et, d’après une étude du Medef, seules 10 % des entreprises françaises pensent qu’elles seront prêtes au 25 mai 2018. Mieux vaut cependant ne pas être en retard. Les sanctions prononcées en cas d’infraction aux nouvelles obligations pourront s’élever jusqu’à 20 millions d’euros voire jusqu’à 4 % du chiffre d’affaires annuel mondial de la société, le montant le plus élevé étant retenu. Ce durcissement des pénalités vise principalement à responsabiliser les entreprises et à les inciter à prendre des mesures efficaces pour assurer la sécurité des données collectées. Dans un sondage publié dans Les Échos en avril 2017, près de quatre dirigeants d’entreprise sur dix se disent préoccupés par le fait que ces pénalités puissent entraîner des licenciements voire la faillite de leur société.


Pour plus d'informations, retrouvez l'interview de Nathalie Chiche, spécialiste de la protection des données personnelles et fondatrice de Data Expert, qui décrypte pour Décideurs Magazine le nouveau statut protecteur de la data. 


Margaux Savarit-Cornali

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

M&A : évolution du contrôle de concentration

M&A : évolution du contrôle de concentration

La vice-présidente exécutive de la Commission européenne Margrethe Vestager l’avait annoncé lors du renouvellement des commissaires fin 2019 : le droi...

Les dirigeants de TPE et PME plus optimistes qu’en avril

Les dirigeants de TPE et PME plus optimistes qu’en avril

Bpifrance Le Lab et Rexecode interrogent chaque trimestre les patrons sur leur trésorerie et leurs anticipations de croissance. Les prévisions concern...

Jacques Veyrat, l’intrépide homme d’affaires

Jacques Veyrat, l’intrépide homme d’affaires

Passé par un cabinet ministériel, homme d’affaires et chef d’entreprise, Jacques Veyrat a changé de cap en quittant la direction du groupe Louis-Dreyf...

Schneider Electric et Dassault Systèmes : cap vers la tech

Schneider Electric et Dassault Systèmes : cap vers la tech

Des entreprises historiquement industrielles peuvent pivoter peu à peu leur business model. En France, c’est notamment le cas de Schneider Electric, p...

Antoine Flamarion, le bâtisseur financier

Antoine Flamarion, le bâtisseur financier

Le fondateur de la société de gestion et d'investissement Tikehau Capital est parvenu en une quinzaine d’années à créer une structure capable d’affich...

DNCA Finance recrute une nouvelle gérante crédit

DNCA Finance recrute une nouvelle gérante crédit

La société de gestion de portefeuilles DNCA Finance a annoncé aujourd’hui l’arrivée de Nolwenn Le Roux, spécialiste crédit, en vue de renforcer l’équi...

Amiral Gestion met le cap sur Efires et l'investissement responsable

Amiral Gestion met le cap sur Efires et l'investissement responsable

Véronique Le Heup et Nadia Tihdaini, co-fondatrices du cabinet de conseil Efires spécialisé dans l’investissement responsable, vont rejoindre la socié...

Apax Partners souhaite acquérir la majorité du groupe Crystal

Apax Partners souhaite acquérir la majorité du groupe Crystal

Apax Partners est entré en négociations exclusives avec le groupe Crystal, principalement détenu par son équipe dirigeante et par les groupes OFI et A...

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message