Voté en 2015 et applicable dès le 25 mai 2018, le « General data protection regulation » (GDPR) est un règlement européen visant à mieux protéger les individus contre les risques d’atteintes à leurs données personnelles. Les entreprises de l’ensemble des pays membres de l’Union Européenne sont directement concernées et vont devoir revoir la manière dont elles collectent, traitent ou stockent les données concernant leurs employés et leurs clients.

  1. Un système uniformisé à l’échelle européenne et un champ d’application plus large

Le GDPR a aussi pour objet, outre le renforcement de la protection des individus, d’harmoniser dès mai 2018 les règlementations locales aujourd’hui appliquées au sein des Etats-membres de l’UE. Au surplus, grâce à un système de guichet unique, chaque entreprise sera désormais en contact avec l’autorité de protection des données compétente sur le territoire de l’Etat-membre dans lequel est situé son établissement principal – pour la France, il s’agira bien sûr de la CNIL.

Le GDPR aura vocation à intervenir quel que soit le support de collecte de données, la localisation en Europe de la personne dont les données sont collectées, le siège social de l’entreprise, et/ou de son sous-traitant procédant au traitement des données, ou encore la nationalité de la personne. Il s’appliquera également à toute entreprise dont le siège serait situé hors de l’UE si ses activités de collectes de données sont liées à un sujet de droit soumis au droit de l’UE.

  1. L’« accountability »

Autre principe fondamental de cette règlementation, la mise en œuvre de l’« accountability », qui implique un changement en profondeur des modèles de fonctionnement des entreprises en matière de gestion des données personnelles. Il appartiendra désormais à chaque entreprise d’évaluer, de sa propre initiative, l’impact des manipulations de données qu’elle souhaite réaliser, de prendre des mesures efficaces et appropriées afin de se conformer au GDPR, et d’apporter la preuve documentée de cette conformité, à tout moment, sur demande de l’autorité de contrôle.

Dans ce cadre, le GDPR introduit deux nouvelles notions qui sont appelées à devenir clés pour les entreprises dans la manière dont elles gèrent les risques liés aux données à caractère personnel : celle de « Privacy by design » (mettre l’objectif de sécurisation des données au cœur même du dispositif de traitement) et celle de « Privacy by default » (garantie que seules les données nécessaires à la finalité recherchée sont collectées).

  1. L’application du règlement et les sanctions

En cas de violation de données, les entreprises devront notifier sous 72h l’autorité compétente (la CNIL en France) et, dans un certain nombre de cas, l’ensemble des personnes touchées, c’est-à-dire les propriétaires des données personnelles compromises.

Les autorités de contrôle se verront conférer des pouvoirs étendus en matière d’investigation : l’examen des certifications, la réalisation d’enquêtes, la communication de toute information, l’accès à toutes les données à caractère personnel et à toutes les informations jugées nécessaire à l’accomplissement de leurs missions, ou encore l’accès aux locaux du responsable informatique au sein de l’entreprise ou chez le sous-traitant.

Le renforcement de ces obligations s’accompagne évidemment de sanctions, pouvant atteindre jusqu’à 4% du chiffre d’affaires mondial de l’entreprise.

Le GDPR doit réellement être perçue comme une opportunité pour les entreprises de travailler sur leur réputation pour jouir d’une confiance renouvelée de la part de leurs clients, partenaires et investisseurs. Car il aura pour effet, notamment, de mieux les préparer aux risques de cyber-attaques, sujet qui est aujourd’hui un véritable enjeu stratégique pour elles.

___________
Astrid-Marie Pirson est Directrice technique souscription chez Hiscox Assurances France

 

Hiscox et LLC & Associés Avocats viennent de publier le livre blanc « Protection des données personnelles – comprendre le règlement européen ». Pour télécharger le livre blanc  : LIVRE BLANC HISCOX