Entré en application en 2018, le Règlement général de la protection des données constitue une véritable opportunité pour les entreprises. Ce dernier s’avère un véritable moteur de leur transformation numérique. Le sujet est toutefois complexe et les entreprises qui ont aujourd’hui pris conscience de son importance sont incontestablement en demande d’accompagnement. Maître Mathilde Barbour, avocate, spécialiste de la protection des données personnelles, fait le point sur la question.
Quel est l’objectif du RGPD ?
Entré en application en 2018, le RGPD (Règlement général sur la protection des données) est un texte européen venu harmoniser les règles en matière de traitement des données personnelles dans l’Union européenne. Son objectif principal est la responsabilisation des acteurs dans une démarche de mise en conformité avec les règles ainsi édictées. Dans ce cadre, chaque entreprise est désormais tenue de mettre en place ses propres process et procédures pour répondre aux exigences du RGPD. D’autant que ce dernier est venu renforcer les droits des personnes sur leurs propres données. En France, les contrôles sont placés sous la responsabilité de la CNIL qui n’agit pas en principe dans une démarche de sanction directe. Toutefois, une entreprise qui n’aurait pas entamé les bonnes démarches de mise en conformité au RGPD prend le risque d’être condamnée à une amende dont la valeur peut atteindre plusieurs millions d’euros.
Comment se positionnent aujourd’hui les petites structures (entrepreneurs, PME, ETI, start-up) ?
La plupart des structures que j’accompagne se positionnent de plus en plus tôt sur leur mise en conformité au RGPD, parfois même avant la création formelle de l’entreprise ou au stade du MVP. Les obligations relatives à la protection des données personnelles ont largement pénétré la conscience des dirigeants d’entreprise et commencent à faire partie intégrante de la culture d’entreprise. Les dirigeants cherchent à structurer efficacement leur stratégie de mise en conformité et à se conformer aux règles applicables pour avancer dans les bonnes conditions, rassurer leurs clients et partenaires et protéger leur responsabilité en cas de contrôle, mais sans pour autant faire du zèle ou en faire trop.
Comment y parvient-on concrètement ?
La première étape consiste à mettre à plat l’ensemble de ses traitements et connaître exactement la nature des données personnelles traitées aussi bien pour le propre compte de l’entreprise que pour celui de ses clients. La clé d’une mise en conformité rapide est la connaissance et la transparence des activités de traitement de données personnelles mises en place et la sensibilisation des équipes. Parmi les règles auxquelles il faut particulièrement prêter attention, on peut citer l’importance des principes de minimisation des données, de durée de conservation limitée, de transfert de données, et de respect les principes du privacy by design et by default dès la conception d’un produit, d’un service ou d’un projet.
Il est également important de veiller à encadrer contractuellement ses relations avec ses sous-traitants, mettre en œuvre ses meilleurs efforts pour assurer la sécurité des données et respecter les droits des personnes concernées.
Enfin, si l’entreprise décide de se faire accompagner, il est fortement conseillé de choisir la bonne personne dès le départ. Il ne suffit pas qu’elle connaisse le dossier du point de vue des obligations juridiques. Il est également nécessaire qu’elle comprenne le secteur dans lequel la structure évolue afin de définir la stratégie adéquate dès le départ. Pour ma part, je procède ainsi : j’étudie le dossier en profondeur en fonction du secteur d’activité, je propose un plan d’action au cas par cas en détaillant les différentes étapes nécessaires pour assurer la mise en conformité des opérations de traitement, et je laisse chacun libre de choisir « à la carte » la forme et le rythme des différentes étapes de mise en conformité qu’il souhaite mettre en place. Mon objectif est de parvenir à accompagner chaque client en m’adaptant à ses priorités et à ses ressources, afin d’avoir l’opportunité de devenir son partenaire juridique sur le long terme.
Y a t-il une obligation de désigner dans chaque entreprise un délégué à la protection des données (DPO) ?
Dans le cadre d’une entreprise privée, l’obligation de nommer un DPO existe si les activités principales de l’entreprise visent un suivi régulier et systématique des personnes concernées à une échelle assez large (géolocalisation, utilisation d’objets connectés, études approfondies sur le comportement des personnes…), ou bien si l’activité de base de la structure concerne le traitement à grande échelle de données sensibles (données de santé, orientation politique ou religieuse, etc.). Il faut toutefois noter que la nomination d’un DPO reste toujours recommandée au sein des sociétés qui n’en ont pas l’obligation légale. J’ajouterai, enfin, que la fonction DPO peut être externalisée. J’effectue d’ailleurs cette mission pour le compte de plusieurs start-up et PME, étant titulaire de la certification CNIL de compétences des DPO.