Article initialement publié en anglais sur notre blog Global Business IP and Technology

Nous venons de dépasser le jalon officiel de la dernière année avant l’application directe, le 25 mai 2018, en France et dans les autres pays de l’Espace Économique Européen (« EEE ») du  Règlement général sur la protection des données («RGPD»).  Au cours des derniers mois, de nombreux États membres de l’UE ont travaillé sur des lois de mise en œuvre du Règlement.  La CNIL a publié la synthèse des contributions à sa consultation sur le profilage, le consentement, la certification et la notification des violations,[1] qui alimentera les futures lignes directrices du G29. Le G29 et des Autorités de protection des données («APD») ont publié des lignes directrices relatives à certaines des exigences du RGPD. Malgré cela, il reste un grand nombre d’imprécisions quant aux mesures exactes que les organismes publics et privés doivent mettre en œuvre progressivement au cours des 12 prochains mois.  Pour autant, il ne faut plus tarder.  Les organismes qui attendent des clarifications avant de démarrer seront très loin du niveau de conformité requis en mai de l’année prochaine.

Cette étape cruciale de J moins 1 an devrait pousser les organismes à mettre les bouchées doubles. Il devient urgent de s’y mettre sous peine de se sentir dépassé. Les organismes qui ont consacré peu ou pas d’effort à la mise en conformité au RGPD ne devraient plus différer, mais au contraire préparer immédiatement un rétro-planning solide, afin de mettre en œuvre concrètement les moyens et outils de la conformité d’ici au mois de mai prochain. Les APD ont clairement indiqué qu’il n’y aurait pas de période  de grâce.

Pour les retardataires, il est conseillé de se concentrer dans un premier temps sur les trois étapes suivantes :

  • Cartographie des traitements. À l’ère du Big Data, où les organismes collectent et analysent régulièrement de grandes quantités de données, il peut sembler difficile de savoir par quel bout commencer. De façon générale, la première étape consiste à comprendre quel type de données sont détenues par votre organisme – qui en a la responsabilité, d’où elles proviennent, avec qui elles sont partagées, comment elles sont utilisées, à quelle(s) fin(s)  elles sont collectées, où elles sont stockées, et bien d’autres informations. Pour les petits organismes, cartographier ou faire l’inventaire peut se faire manuellement.   Mais les sociétés brassant d’avantage de données peuvent envisager d’investir dans des outils informatiques aidant à la cartographie (pour lesquels, néanmoins, une certaine dose d’intervention humaine reste nécessaire).
  • Relations avec les prestataires. Dans le cadre du RGPD, les organismes doivent inclure certaines dispositions dans leurs contrats afin d’établir de façon claire leurs rôles et responsabilités quant au traitement des données. Les « responsables de traitement » se doivent de veiller à ce que leurs prestataires traitent correctement les données personnelles qui leur sont confiées, et les « sous-traitants » peuvent dorénavant être tenus responsables dès lors qu’ils agissent en dehors des instructions des responsables de traitement. Ainsi, les organismes devraient commencer par identifier tous les contrats qui impliquent le traitement des données personnelles et à évaluer la façon dont ils doivent être révisés pour répondre aux exigences du RGPD. Les organismes aux États-Unis qui sont certifiées Privacy Shield devront probablement mettre à jour et renégocier leurs contrats pour se conformer au principe des « transferts ultérieurs ».
  • Système de gestion des demandes et réclamations.  La plupart des organismes disposent d’un grand volume de données personnelles stockées sur différents serveurs – parfois dans différents pays – et ne pourraient répondre à toutes les demandes d’accès, de rectification, d’opposition, de portabilité, retrait du consentement des « personnes concernées ». La mise en place d’un système de gestion des droits  peut être très coûteuse. Afin d’être en conformité d’ici à mai 2018, il est donc recommandé de commercer à étudier dès à présent les solutions technologiques disponibles permettant de répondre efficacement aux éventuelles demandes et réclamations.

Une bonne façon de démarrer le processus est de commencer par sensibiliser l’équipe de direction et gagner son engagement. Bien que le niveau des éventuelles sanctions soit un facteur de motivation fort, il est important que votre organisme comprenne que la conformité au RGDP permet aussi de créer de la  valeur, en assurant une meilleure gestion des données. Une fois l’engagement obtenu, vous devriez créer une « équipe RGDP » dédiée, composée d’intervenants clés des principaux départements de votre organisation. L’intervention d’une équipe RGDP sera déterminante pour que les différentes tâches soient effectivement menées à terme.  Aborder les énormes exigences du RGPD et ses nombreux projets, sans une telle équipe et sans plans de travail clairs, peut sembler insurmontable.  Et ce sans compter les dérogations que les États membre sont susceptibles d’essaimer au cours des 12 prochains mois.

Bien qu’une durée de 12 mois puisse paraitre longue, les organismes publics et privés doivent commencer au plus tôt les efforts de mise en conformité avec le RGDP, certaines tâches (telles que celles mentionnées ci-dessus) pouvant prendre plusieurs mois. Avec des sanctions pouvant s’élever jusqu’à 20 million d’euros ou 4% du chiffre d’affaires annuel mondial, le risque en cas de non-conformité est beaucoup plus significatif.
Contact : stephanie.faber@squirepb.com

 


[1] www.cnil.fr/fr/consentement-profilage-notification-de-violations-synthese-de-la-consultation-sur-le-reglement