Data & analytics

RGPD : 9 mois après l’entrée en application, quels enseignements pour les entreprises ?

Après 9 mois d’application, premier bilan sur la politique de conformité et la protection des données personnelles.

Pour Farid Bouguettaya, avocat associé en IT/IP au cabinet Artemont, « il est incontestable que le RGPD a changé la perception des individus en matière de protection des données. Les entreprises qui sauront montrer à leurs clients qu’elles méritent leur confiance en matière de protection des données feront la différence et dans certains secteurs comme le numérique, des entreprises ont déjà compris les bénéfices qu’elles pouvaient tirer d’une mise en conformité RGPD ».

Le RGPD : bref rappel

Le RGPD (ou Règlement Général sur la Protection des Données personnelles) est un règlement de l’Union Européenne, entré en application le 25 mai 2018 dans chaque  État membre.

En adoptant ce texte, le législateur européen a eu pour objectif d’améliorer le niveau de protection des données personnelles, en particulier en prenant en compte les évolutions entraînées par l’économie numérique, et de renforcer à la fois la confiance des personnes et des acteurs.

En France, les nouvelles dispositions ont été intégrées dans la loi Informatique et Libertés, précisant que sur plusieurs aspects la France a fait le choix de bénéficier de la marge de manœuvre laissé aux  États, en adoptant des mesures spécifiques permises par le RGPD.

Les grands principes du RGPD

Afin d’atteindre les objectifs de l’Union Européenne, le RGPD repose sur différents principes que chaque organisme, traitant des données personnelles, est tenu de respecter.

Les organismes sont responsabilisés par la mise en œuvre d’un principe d’accountability, selon lequel il est requis non seulement de se mettre en conformité, mais également d’être en capacité de démontrer et de documenter les mesures mises en place pour assurer la protection des données à caractère personnel. Ce principe irrigue le RGPD et se retrouve dans les obligations de tenue d’un registre des traitements, de mener des évaluations notamment dans certains cas par le biais de Privacy Impact Assesments, etc. Des nouveaux droits sont créés (par exemple portabilité des données, droit à l’oubli numérique), dont les conditions de mise en œuvre doivent être connues par tout organisme tenu de se conformer au RGPD.

Le RGPD renforce également la transparence à l’égard des personnes, instaure un principe de privacy by design & by default imposant de prendre un compte la protection des données personnelles dès la conception d’un produit ou d’un service et d’en assurer par défaut un niveau de protection élevé.

Quelles sanctions en cas de non-conformité ?

Autre nouveauté, le RGPD augmente considérablement les sanctions encourues en cas de non-conformité.

En effet, en cas de non-conformité au RGPD, les entreprises peuvent se voir appliquer des sanctions pouvant aller jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros.

Les premières sanctions appliquées ont vu notamment l’autorité de protection des données portugaise sanctionner un hôpital d’une amende de 400 000 euros en raison de sa politique d’accès aux bases de données des patients.

Tout récemment, la France a infligé une amende record à Google, s’élevant à 50 millions d’euros. Si le cas Google est un cas que d’aucuns considéreront comme particulier, en raison de la nature des violations constatées et de la multitude de données d’outils utilisés et de personnes concernées, il est possible d’en tirer des enseignements. Le principal est que les autorités de protection des données, en particulier la CNIL, ont l’intention d’utiliser leurs pouvoirs de sanction de manière plus sévère (pour rappel, avant le RGPD, la sanction maximum infligée par la CNIL s’élevait à 150.000 euros).

La conformité au RGPD, un avantage concurrentiel pour les entreprises ?

Depuis son adoption, le RGPD a connu une médiatisation sans précédent. La protection des données personnelles est devenue de plus en plus importante tant pour les individus que pour les partenaires commerciaux.

Dès lors, afficher la mise en œuvre de mesures tendant à la conformité au RGPD pourra constituer indéniablement un avantage concurrentiel pour les entreprises, non seulement vis-à-vis des personnes concernées pour les acteurs offrant leurs produits ou services en BtoC, mais également en BtoB, vis-à-vis de clients ou partenaires commerciaux se trouvant dans l’obligation de s’assurer que leurs sous-traitants se conforment au RGPD.

Par ailleurs, l’application de principes tels que la minimisation des données, la tenue d’un registre ou l’accountability sont autant de règles de bonne gouvernance pouvant à terme bénéficier aux entreprises, en améliorant leur gestion des données et, le cas échéant, les coûts associés.

Faites de la protection des données un atout marketing.

Vous aimerez peut-être aussi