Le Règlement général sur la protection des données (RGPD) entrera en vigueur le 25 mai prochain.
A cette date, les entreprises devront avoir engagé une analyse d’impact relative à la protection des données (AIPD ou PIA) et, le cas échéant, nommé un Délégué à la Protection des Données (DPD ou DPO).
Les données personnelles sont partout.
Les données personnelles, que l’on appelle « l’or noir du numérique », ont une valeur stratégique et appartiennent au patrimoine économique des entreprises.
Il s’agit de toutes les informations relatives aux individus : nom, prénom, adresse email, engagement syndical éventuel, numéro de sécurité sociale, historique de navigation internet, coordonnées bancaires …
Chaque entreprise de France possède l’une ou l’autre de ces informations sur ces populations, que ce soit dans un fichier ad hoc ou dans d’autres documents, informatisés ou non. « Toute entreprise qui traite des données à caractère personnel de résidents européens, c’est-à-dire qui les collectent, les utilisent, les diffusent, voire tout simplement les effacent, va devoir se conformer au RGPD », explique Marie-Laure LE QUILLEC, juriste au sein du cabinet d’expertise-comptable ICS, à Schiltigheim.
La réputation des entreprises en jeu
Ce règlement prévoit que chaque citoyen sera en mesure d’exiger des entreprises qu’elles lui communiquent dans un délai donné l’ensemble des informations qu’elles détiennent sur lui, ou qu’elles en effacent tout ou partie.
Il imposera également un renforcement de la sécurité des systèmes informatiques qui les hébergent et la capacité, pour l’entreprise, de connaître avec précision la cartographie – en interne et en externe – des serveurs qui stockent ces datas.
L’objectif : sécuriser toujours plus ces informations et lutter contre la cybercriminalité favorisée par des systèmes insuffisamment protégés.
Derrière, c’est bien la réputation et l’image de l’entreprise qui sont en jeu en cas de faille. Un risque souvent bien plus grave que l’amende (4% du chiffre d’affaires de l’entreprise, plafonnée à 20 millions d’euros) prévue par le RGPD en cas de contrôle de la CNIL.
Engager la mise en conformité
Si ce règlement peut paraître contraignant, il aura le mérite de pousser beaucoup d’entreprises à réaliser un état des lieux des process liés au traitement de leurs données personnelles.
Concrètement, et pour le 25 mai, les entreprises devront prouver qu’elles sont engagées dans la démarche de mise en conformité. Pour ce faire nous vous conseillons de consulter le Guide de la CNIL https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles.
Dans ce contexte, le cabinet ICS se pose en interlocuteur et en conseil sur l’aspect juridique de ce dossier. Le cabinet assure notamment une veille sur les textes et décrets d’application qui ne sont pas encore tous publiés.
Pour plus d’informations :
Marie-Laure Le Quillec : mllequillec@ics-sa-com.bureau.webcd.fr
