Mon compte Devenir membre Newsletters

Règlement général de protection des données: "Mai 2018 arrivera très vite et il n'y aura pas de délai supplémentaire"

Publié le par

Le règlement général sur la protection des données (RGPD) implique de revoir en détail, d'ici 2018, les traitements des données personnelles au sein des entreprises. Comment le Daf peut-il orchestrer la mise en conformité? Me Sylvain Staub, du cabinet Staub & Associés, a répondu à nos questions.

Me Sylvain Staub, cabinet Staub & Associés

Me Sylvain Staub, cabinet Staub & Associés

Paru au JO le 4 mai 2016, le Règlement général sur la protection des données (RGPD) renforce la protection des données personnelles traitées par les entreprises. Ces dernières ont jusqu'au 25 mai 2018 pour se mettre en conformité, sous peine de sanctions. Comment s'y préparer? Me Sylvain Staub, du cabinet Staub & Associés, apporte son éclairage.

> Sachant que le RGPD impacte l'entreprise à différents niveaux (juridique, technique, opérationnel...), comment le Daf peut-il orchestrer la mise en conformité de son entreprise d'ici mai 2018?

La mise en conformité de l'entreprise, a fortiori du groupe d'entreprise, constitue un véritable projet auquel doivent participer la plupart des services de l'entreprise, car ils manipulent tous, à des degrés divers, des données personnelles. Le service marketing qui permet la prospection, le service client qui gère l'ensemble des contrats et donc des contacts chez les clients, le service achats en relation avec les fournisseurs, la DSI qui conçoit les systèmes ou implémente la sécurité, la DRH qui traite les données des salariés, doivent tous être sensibilisés, ainsi que le département R&D pour les entreprises qui éditent ou intègrent des technologies numériques, car le RGPD doit être intégré à l'ADN de ces produits dès leur conception.

Il s'agit d'une démarche de "recâblage" complet de l'entreprise

Il s'agit d'une démarche de "recâblage" complet de l'entreprise, qui doit se doter de processus, de réflexes et de modalités de contrôle pour que la conformité au RGPD soit effective et de chaque instant. C'est donc clairement un projet qui doit être impulsé au plus haut (DG et Daf), et qui doit être anticipé le plus possible compte tenu de sa complexité et de sa portée sur le marché.

Au vu des impératifs de production propres à chaque entreprise, du nombre de sujets à traiter, de l'évangélisation à mener au sein des groupes, et des enjeux associés (image de marque de l'entreprise, compliance, mais aussi risques de condamnation à des sanctions financières particulièrement significatives), il semble impératif de se lancer dans ce projet sans attendre. Mai 2018 arrivera très vite et il n'y aura pas de délai supplémentaire. Les entreprises qui seront conformes à cette date bénéficieront à la fois d'une sécurité juridique et d'une avance concurrentielle qu'elles pourront mettre en avant auprès de leurs clients.

Le DPO, un nouvel interlocuteur au sein de l'entreprise

Le délégué à la protection des données (DPO) est le "monsieur données personnelles" dont chaque entreprise devra se doter, en interne au-delà d'une certaine dimension. Comme le régime déclaratif de la loi de 1978 et de la Directive de 1995 va disparaître, le DPO devient le garant interne de la conformité de l'entreprise à la réglementation. Il est important de s'interroger rapidement sur le profil qui doit être le sien (à la fois juriste mais aussi technicien pour comprendre les traitements et exiger la sécurité).

Son travail sera notamment d'inscrire sur son registre l'ensemble des traitements de données personnelles mis en oeuvre dans l'entreprise, les procédures de sécurité et la mise en oeuvre des notifications de failles de sécurité par exemple. Il devra être en contact direct avec la direction générale et avoir son oreille. Son recrutement peut se faire en parallèle des travaux juridiques initiaux et des analyses de risques techniques à mener pour cartographier l'existant au sein de l'entreprise, identifier les réformes à mener et donner corps à celles-ci.

>> À lire en page 2: les démarches à entreprendre auprès des fournisseurs, la gestion des données déjà collectées...