Finances & juridique

Débrief #27 : le GDPR, enjeux et impacts

Suite à un nouvel engouement sur WhatsApp, nous avons eu la chance de nous réunir le lundi 20 novembre chez Comet Meetings pour un meet-up technique sur les enjeux et les plans d'actions liés au GDPR.

Publié le
gdpr-enjeux-et-impacts

Merci encore à Louis Rouxel pour nous avoir aidé dans l’organisation et pour avoir invité nos deux expertes sur le sujet : Merav Greguer (avocat spécialisée dans le traitement des données chez Bird & Bird) et Elise Latify (ex-CNIL, maintenant consultante). Merci aussi à Rand Hindi pour le partage d’expériences. Récap !

GDPR / RGPD : QUÈSACO ?

Le GDPR (General Data Protection Regulation) ou RGPD en français (Règlement Général de la Protection des Données) est un règlement européen concernant le traitement des données qui entrera en vigueur le 25 Mai 2018. Le principe du texte est qu’une entreprise doit désormais, à tout moment, savoir de quelles données elle dispose et connaître leur localisation, l’objectif de leur collecte, leur mode de gestion, le stockage, la sécurisation, le transfert et l’effacement. Avec le GDPR, les entreprises doivent désormais prendre en compte le risque du traitement des données dès la conception du produit

QUI EST CONCERNÉ ?

Le règlement s’applique à tous les acteurs économiques voire sociaux qui collectent, traitent et stockent des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne.

Par ailleurs, il s’applique à toutes les données concernant des individus présents en Europe (quelle que soit leur nationalité). Il est attendu qu’il soit respecté y compris par les sociétés étrangères, et cela inclut donc les GAFAM.

Héberger ou transférer ses données dans le cloud auprès de fournisseurs de services non-européens représente donc un risque légal. Il faudra s’assurer qu’ils respectent le GDPR (le « Privacy Shield », accord transatlantique ayant récemment remplacé le « Safe Harbor » n’étant pas assez exigeant).

QUELS CHANGEMENTS ?

Le GDPR met en place de nouvelles procédures pour les entreprises. Ce qui change c’est la charge de la preuve : avant, c’était à la CNIL de démontrer qu’une société ne respectait pas la protection des données privées. A partir du 25 Mai 2018, c’est à la société de prouver qu’elle fait le nécessaire pour assurer la conformité (principe de l’accountability). Par ailleurs, les prestataires sous-traitants sont désormais considérés comme co-responsables. Ils se doivent donc d’informer et de faire appliquer le règlement à leurs clients.

QUE FAUT-IL FAIRE ?

• Définir la finalité de l’utilisation des données et réfléchir à un impact avant de mettre en place. Il faut intégrer le risque dans la réflexion et la conception même du produit (principe du privacy by design).

• Identifier clairement quelles données sont nécessaires et pour combien de temps

• Identifier par quels dispositifs ces données sont protégées

• Identifier comment informer les personnes physiques de leurs droits.

• Si vous identifiez des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une étude d’impact sur la protection des données (en anglais, Privacy Impact Assessment ou PIA).

• Une étude d’impact contient :

o une description du traitement et de ses finalités

o une évaluation de la nécessité et de la proportionnalité du traitement

o une appréciation des risques sur les droits et libertés des personnes concernées

o les mesures envisagées pour traiter ces risques et se conformer au règlement

• Désigner un DPO (Data Protection Officer) : obligatoire pour les organismes publics ou privés qui traitent des données sensibles ou des données à grande échelle

• Demander le consentement « éclairé et informé » de la personne physique et mettre en place un droit de retrait : un utilisateur doit pouvoir retirer son consentement aussi facilement qu’il l’a donné. Le retrait vaut pour l’avenir : l’entreprise n’a pas à supprimer toutes ses données passées jusqu’à la date du retrait (puisque le consentement avait été donné). Cela s’ajoute au classique droit d’accès, de modification, de rectification et de suppression des données de la loi Informatique et Libertés.

QUELS SONT LES RISQUES ?

• Une amende pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros.

• L’entreprise doit également indemniser toute personne lésée matériellement ou moralement par un traitement non-conforme de ses données, sans plafonnement.

• Le risque pour certaines start-up de passer à côté d’une opportunité en se basant sur un nombre trop restreint de données et en se rendant compte, trop tard, qu’il en fallait davantage.

QUELLES SONT LES OPPORTUNITÉS ?

• Harmoniser la gestion des données dans l’UE et donc permettre une plus grande transparence et une meilleure collaboration entre les pays membres. Le GDPR pose ainsi les bases d’une législation commune, même si chaque pays membre conserve une réglementation spécifique locale (le Code des postes et des communications électroniques n’est par exemple pas identique partout dans l’UE).

• Améliorer la confiance des consommateurs envers les entreprises qui utilisent des données et donc générer plus de business.

• Favoriser l’innovation (ex: Snips de Rand Hindi qui a développé une technologie permettant de traiter les données en local afin d’éviter leur export dans le cloud).

• Le droit à la portabilité qui devrait obliger un prestataire de services à permette à ses utilisateurs de télécharger l’intégralité de ses données, dans un format « intéropérable »

GALION TIPS : 

La CNIL a établi un outil en 6 étapes pour se mettre en conformité. Synthétique et clair, nous vous recommandons fortement la lecture : https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes 

Bon courage ! 🙂

Par :
  • Margot COURTY

    The Galion Project

  • Finances & juridique