Digital Society Forum Digital Society Forum
Partenaires 14/05/2018

RGPD : les entreprises seront-elles en conformité le 25 mai ?

Gregory Voss, "Juris Doctor" et enseignant-chercheur à la Toulouse Business School (TBS), et Maître Stanley Claisse, avocat spécialiste en droit de la propriété intellectuelle, de l'informatique et des télécommunications, lors des "Matinales de la Recherche" du 8 décembre 2017 à la Toulouse Business School.
Plus qu’une dizaine de jours avant le 25 mai et l’entrée en vigueur du Règlement général pour la protection des données personnelles (RGPD). Il était temps de renouveler la législation européenne, qui datait de 1995. Mais les entreprises seront-elles en conformité dans les temps ? A l’occasion de la Matinale de la Recherche de la Toulouse Business School consacrée au RGPD, Educavox , partenaire du Digital Society Forum, fait le point sur cette nouvelle réglementation qui veut à la fois harmoniser la législation et améliorer la sécurité informatique, mais aussi responsabiliser les entreprises.

Nombreux étaient les participants à la cinquième édition des Matinales de la Recherche de Toulouse Business School, concernés par la nouvelle législation européenne sur la protection des données. Applicable à toutes les entreprises dont les activités ciblent le territoire européen, le règlement général pour la protection des données personnelles (RGPD) entrera en vigueur à partir du 25 mai 2018.

Son objectif est de protéger les citoyens européens contre une utilisation malveillante de leurs données à caractère personnel. Gregory Voss, "Juris Doctor" et enseignant-chercheur à la Toulouse Business School (TBS), et Maître Stanley Claisse, avocat spécialiste en droit de la propriété intellectuelle, de l'informatique et des télécommunications, ont fait le point sur cette nouvelle réglementation : plus uniforme, plus responsabilisante, plus vertueuse.

Une évolution réglementaire nécessaire


Big Data, stockage biométrique... De nombreuses évolutions technologiques sont intervenues depuis la directive européenne de 1995 qui régit actuellement la protection des données en Europe. De fait, la législation n'est plus adaptée. Surtout, elle présente d'importantes disparités entre les États membres qui ont transposé la directive avec des différences. L'harmonisation de la réglementation constitue donc un objectif de la réforme. Autre ambition du nouveau règlement : alléger le fardeau administratif et le coût engendrés par les formalités de déclaration préalable dont doit s'acquitter toute entreprise traitant des données personnelles. Enfin, si le niveau de protection des données personnelles en Europe est globalement satisfaisant, les sanctions financières prévues par la directive à l'encontre de contrevenants demeuraient très faibles dans certains états, comme la France.

C'est dans ce contexte et à l'issue d'un long processus que l'Union européenne a adopté le nouveau règlement général pour la protection des données personnelles (RGPD). Il sera applicable à partir du 25 mai 2018, une étape pour l'établissement du marché numérique européen. Le choix de légiférer via la forme du règlement n'est pas anodin. A la différence de la directive, les règlements européens ne nécessitent pas de transposition dans les États membres. Le règlement européen général pour la protection des données personnelles permet donc une harmonisation quasi-parfaite de la législation dans les 28 États membres. Son champ d'application concerne toutes les entreprises, quelle que soit leur taille, qu'elles aient ou non leur siège dans l'Union européenne. Ainsi, les entreprises transnationales dont les activités ciblent le territoire européen tombent désormais sous le coup de la réforme.

Selon Grégory Voss, "on parle d'effet extraterritorial du nouveau règlement européen. Il inclut les cas classiques d'entreprises qui traitent des données à caractère personnel dans l'union européenne ou y ayant un siège social, mais aussi les entreprises hors de ce territoire dont les activités ciblent les personnes sur le territoire de l'union européenne. Qu'il s'agisse de la fourniture de produits et de services ou du suivi du comportement dans l'union européenne qui visent ces personnes."

Une réglementation responsabilisante pour les entreprises


La philosophie du nouveau règlement général pour la protection des données personnelles est résolument tournée vers la responsabilisation des entreprises. Cette volonté se traduit, d'une part, par l'obligation faite aux entreprises de démontrer à tout moment qu'elles sont en conformité avec la législation. Cette obligation va engendrer une modification dans la gouvernance des entreprises qui devront recruter des profils adaptés. Ces « délégués à la protection des données à caractère personnel » auront pour mission de cartographier les traitements de données personnelles mis en œuvre par l'entreprise et d'assurer leur conformité à la réglementation. On estime à 75 000 postes le gisement mondial d'emplois dans ce domaine.

L'objectif de responsabilisation des entreprises s'exprime, d'autre part, à travers l'obligation, pour toutes les entreprises, et pas seulement les fournisseurs de services de communications électroniques, de déclarer, aux personnes ciblées par le traitement des données, toute attaque ou piratage subis par leur base de données. Sauf exception prévue dans le règlement, elles doivent informer les personnes physiques de la potentielle corruption de leurs données personnelles, dès lors que la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés. Cette obligation d'information exposera l'entreprise, de façon prévisible, à la multiplication des actions collectives ou des demandes de réparation de préjudice.

En cas de manquement à ses obligations, l'entreprise s'expose à de lourdes sanctions financières, lesquelles ont été considérablement renforcées puisqu'elles peuvent atteindre 4% de leur chiffre d'affaires mondial pour certaines violations dans le cas d'une entreprise. Plus responsabilisant, ce dispositif se substitue à la déclaration préalable que doit aujourd'hui effectuer toute entreprise traitant des informations à caractère personnel.

Vers une amélioration du niveau de sécurité global des entreprises


Si l'objectif de cette nouvelle réglementation est, au premier chef, de minimiser les risques de violations des données personnelles et les préjudices subséquents, son effet sera bénéfique sur le niveau de sécurité des entreprises. Pour protéger les données personnelles qu'elles traitent, les entreprises devront mettre en place des outils de sécurité informatique, de chiffrement, de contrôle d'accès... Si elles ont recours à des sous-traitants, elles devront s'assurer qu'ils sont en conformité avec leurs exigences de sécurité. Ces obligations renforcées devraient contribuer à l'amélioration globale du niveau de sécurité des systèmes d'information et avoir un effet préventif sur la cybercriminalité.

En revanche, cette amélioration ne sera pas immédiate dans toutes les entreprises : "Si les grandes entreprises se sont préparées à ce changement réglementaire, explique Stanley Claisse, les petites et moyennes entreprises vont mettre plus de temps à s'adapter. Espérer qu'elles seront en conformité dans les 6 mois est largement illusoire. Ce sera un travail de longue haleine qui de plus nécessitera de la régularité dans la vérification de la conformité des données."


Les commentaires

Pour réagir à cet article, je me connecte Je m’inscris

Soyez le premier à réagir !

S’inscrire et participer

Inscrivez vous sur le Digital Society Forum pour commenter et réagir sur les articles et être informé des événements à venir

DSF