Le Règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 27 avril 2016, est entré en vigueur le 25 mai 2018.
Ce texte porte un renforcement des droits des citoyens de l’Union Européenne dans la protection de leurs données notamment par le renforcement de l’information, du consentement, du droit d’accès, de rectification, et d’effacement, ainsi que par l’instauration de la limitation du traitement, la portabilité des données, le déréférencement, la protection des mineurs, et la lutte contre le profilage via le droit à l’intervention humaine.
Lancés dans leur activité, les professionnels ont peu souvent la possibilité de s’arrêter sur l’organisation de leur exercice professionnel.
Or, ces nouveaux droits, et les obligations qui en découlent, sont une réelle opportunité pour les professionnels afin de communiquer auprès de leur clientèle dans le cadre d’une action positive tournée vers l’amélioration de la relation client, et la mise en valeur du respect apporté par l’entreprise à la protection des données de ses clients.
Comment faire ?
Tout d’abord, ceci est l’occasion de nommer le responsable des traitements, d’identifier clairement les données collectées et ce qui en est fait, et de trier leur nécessité. Le fruit de cet examen permettra d’établir le fameux registre des traitements, document clé sollicité par le Règlement.
En cas d’identification de données sensibles (santé, vie sexuelle, religion, etc.) ou considérées comme telles (coordonnées bancaires, etc.), les obligations sont renforcées et pourront donner lieu à la réalisation d’études d’impact et à la désignation d’un délégué à la protection des données pour conseiller spécifiquement l’entreprise et l’accompagner dans ses démarches. Ce délégué pourra être choisi soit en interne soit externalisé. Dans le cadre de l’externalisation, le délégué à la protection des données (avocats, conseils, techniciens, etc.) pourra éventuellement être mutualisé avec d’autres entreprises pour réduire les coûts.
Puis, l’entreprise profitera de cette réflexion pour s’interroger sur son système de protection, éventuellement, le mettre à niveau, et organiser les process internes préventifs et curatifs en cas d’atteintes aux données.
Une mise à jour contractuelle (CGV/CGU, sous-traitance, contrat de travail, etc.) complètera l’ensemble.
Pour ceux qui débutent leur activité, l’intégration originelle de la protection des données (privacy by design) dans les concepts commerciaux sera source de gain de temps et de productivité, en permettant de ne collecter que les données réellement nécessaires (privacy par default).
Aucune entreprise n’est à l’abri des risques d’atteintes (vols, virus, cyberattaque, etc.), et les sanctions édictées par le Règlement sont importantes (jusqu’à 4% du chiffre d’affaire).
Aussi, s’intéresser à ces questions est devenu essentiel, ce d’autant que les consommateurs sont sensibilisés et demandent ce type de garantie, privilégiant les professionnels respectueux.
Pour l’entreprise, effectuer ces démarches constitue alors un atout concurrentiel incontestable.
Contrairement aux peurs véhiculées par des opérateurs peu scrupuleux, le Règlement se fonde sur un principe de responsabilité (accountability) qui permet à chacun de s’organiser librement, et de pouvoir documenter et justifier de ses formalités de mise en conformité, en cas de plainte d’un client ou d’atteinte aux données.
La RGPD
Le Règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 27 avril 2016, est entré en vigueur le 25 mai 2018.
Ce texte porte un renforcement des droits des citoyens de l’Union Européenne dans la protection de leurs données notamment par le renforcement de l’information, du consentement, du droit d’accès, de rectification, et d’effacement, ainsi que par l’instauration de la limitation du traitement, la portabilité des données, le déréférencement, la protection des mineurs, et la lutte contre le profilage via le droit à l’intervention humaine.
Lancés dans leur activité, les professionnels ont peu souvent la possibilité de s’arrêter sur l’organisation de leur exercice professionnel.
Or, ces nouveaux droits, et les obligations qui en découlent, sont une réelle opportunité pour les professionnels afin de communiquer auprès de leur clientèle dans le cadre d’une action positive tournée vers l’amélioration de la relation client, et la mise en valeur du respect apporté par l’entreprise à la protection des données de ses clients.
Comment faire ?
Tout d’abord, ceci est l’occasion de nommer le responsable des traitements, d’identifier clairement les données collectées et ce qui en est fait, et de trier leur nécessité. Le fruit de cet examen permettra d’établir le fameux registre des traitements, document clé sollicité par le Règlement.
En cas d’identification de données sensibles (santé, vie sexuelle, religion, etc.) ou considérées comme telles (coordonnées bancaires, etc.), les obligations sont renforcées et pourront donner lieu à la réalisation d’études d’impact et à la désignation d’un délégué à la protection des données pour conseiller spécifiquement l’entreprise et l’accompagner dans ses démarches. Ce délégué pourra être choisi soit en interne soit externalisé. Dans le cadre de l’externalisation, le délégué à la protection des données (avocats, conseils, techniciens, etc.) pourra éventuellement être mutualisé avec d’autres entreprises pour réduire les coûts.
Puis, l’entreprise profitera de cette réflexion pour s’interroger sur son système de protection, éventuellement, le mettre à niveau, et organiser les process internes préventifs et curatifs en cas d’atteintes aux données.
Une mise à jour contractuelle (CGV/CGU, sous-traitance, contrat de travail, etc.) complètera l’ensemble.
Pour ceux qui débutent leur activité, l’intégration originelle de la protection des données (privacy by design) dans les concepts commerciaux sera source de gain de temps et de productivité, en permettant de ne collecter que les données réellement nécessaires (privacy par default).
Aucune entreprise n’est à l’abri des risques d’atteintes (vols, virus, cyberattaque, etc.), et les sanctions édictées par le Règlement sont importantes (jusqu’à 4% du chiffre d’affaire).
Aussi, s’intéresser à ces questions est devenu essentiel, ce d’autant que les consommateurs sont sensibilisés et demandent ce type de garantie, privilégiant les professionnels respectueux.
Pour l’entreprise, effectuer ces démarches constitue alors un atout concurrentiel incontestable.
Contrairement aux peurs véhiculées par des opérateurs peu scrupuleux, le Règlement se fonde sur un principe de responsabilité (accountability) qui permet à chacun de s’organiser librement, et de pouvoir documenter et justifier de ses formalités de mise en conformité, en cas de plainte d’un client ou d’atteinte aux données.
A vous de jouer !
Ange-Aurore Hugon-Vives - Hv Avocats
Avocate spécialisée en droits immatériels & nouvelles technologies
Partager sur :