Données personnelles : le challenge ?de la mise en conformité "RGPD" pour 2018 !

Nul doute que chacun aura entendu parler du "GDPR" ou "RGPD", acronymes terribles se rapportant en fait au nouveau Règlement Européen encadrant la gouvernance des données personnelles, qui entrera en application en mai 2018.
Pour autant les entreprises et notamment celles de l’industrie savent-elles bien quelles en sont les implications et ont-elles déjà mis en œuvre leur feuille de route pour se mettre en conformité d’ici-là ?

par Charlotte URMAN Inlex IP Expertise, Conseil en propriété Industrielle Responsable des agences en région PACA

Les entreprises concernées

Ôtons déjà un doute important, toutes les entreprises basées en Union Européenne ou qui traitent des données personnelles de ressortissants de l’Union Européennes sont concernées.
Quel que soit le type de données personnelles collectées (données clients, RH, prospects, adresse IP, centres d’intérêt, données de navigation, etc.) et quel que soit leur usage envisagé (envoi de newsletters, d’invitations ou d’offres promotionnelles, amélioration de la navigation sur un site web, statistiques, ciblage publicitaire, etc.), les entreprises doivent rentrer dans le rang et cela est d’autant plus stratégique lorsque l’activité de l’entreprise est intimement liée à ces données (intelligence artificielle, objets connectés, communication digitale, etc.).
D’ailleurs, la valeur de l’entreprise passe souvent par ses bases de données qui valent parfois plus que la marque emblématique. Ce n’est pas pour rien que certaines boutiques proposent à présent des produits gratuits… ou plutôt payés non pas en euros mais par la fourniture des données personnelles du client. On revient ainsi à l’adage « si c’est gratuit c’est que c’est vous le produit ! ».

L’objectif de cette nouvelle réglementation

Ce Règlement comporte de nouveaux droits pour les utilisateurs et de nouvelles obligations pour le responsable du traitement des données, tout en créant également une responsabilité légale inexistante jusqu’alors pour les sous-traitants.
Le Règlement impose également des sanctions record, avec des amendes pouvant aller jusque 20 millions d’euros ou 4% du Chiffre d’affaires mondial de l’entreprise, et la possibilité pour les personnes dont les données personnelles ont été traitées de demander des dommages & intérêts en cas d’atteinte à leurs droits.

Evidemment la mise en conformité ne peut pas se faire en un jour et pour les entreprises qui ne se sont pas encore intéressées au sujet, il est temps !

Bien entendu, l’un des intérêts particulièrement visible est d’éviter les nouvelles sanctions, compte tenu des risques financiers pour l’entreprise.
Ce n’est toutefois pas le seul puisque la valeur des bases de données personnelles n’existe en pratique que lorsque celles-ci ont été traitées et collectées de manière licite. En d’autres termes, pas de transfert de propriété valorisable sans conformité !
Ce nouveau Règlement doit aussi être appréhendé par les entreprises comme une véritable opportunité puisque se pencher sur cette question de fond peut permettre de prendre conscience de la nécessaire sécurité informatique qui doit être mise en place pour préserver ses données (notamment les données client) vis-à-vis de ses concurrents et de pirates informatiques.
Il permet également de prévoir un plan de communication autour de l’implication de l’entreprise dans le respect de la vie privée, son éthique et ainsi d’impacter positivement son image de marque !

Engager un process de mise en conformité

La mise en conformité de la gouvernance des données personnelles nécessite pour les entreprises un véritable travail de fond et d’organisation, avec un rétroplanning pour cadrer les différentes mesures à mettre en place.
L’idéal est déjà, avec une véritable implication de la Direction de l’entreprise, de désigner un pilote qui sera l’intermédiaire entre les différents pôles de l’entreprise concernés par les données personnelles (RH, Commercial, Marketing, Informatique) et le garant du projet.
Ensuite, réaliser un inventaire des collectes et traitements de données personnelles pour commencer à constituer un registre.
Puis, analyser les traitements sur le plan juridique pour fixer la situation et détecter les failles éventuelles et les mesures à prendre pour être conforme à la nouvelle réglementation, en couplant ce travail avec une analyse technique notamment sur les aspects de sécurité informatique.

Le process de mise en œuvre des différentes démarches à engager doit être cadré et suivi et permettra enfin d’établir la documentation recommandée (ou légalement obligatoire) ainsi que les process internes sur la gouvernance des données personnelles.

Notre équipe dédiée a étudié ces questions de près et construit une véritable méthodologie pour accompagner les entreprises dans ce changement majeur et les aider à passer le cap !