Protection des données personnelles des salariés, clients, prospects : quelle politique déployer?

Après quatre ans de discussion, un accord global entre le Conseil européen et le Parlement européen est intervenu, mardi 15 décembre 2015, sur le règlement européen relatif à la protection des données à caractère personnel. Ce règlement constitue selon Jean-Marc Allouët, associé BDO, spécialisé en conseil et audit des systèmes d'information et Isabelle Renard, avocat (Cabinet IRenard Avocats) et docteur ingénieur, "un bouleversement dans la gestion des données personnelles" pour "toutes les entreprises européennes qui recueillent des données personnelles mais aussi pour les sociétés n'ayant pas leur siège social en Europe mais qui traitent des données personnelles dans cet espace". Explications pour une bonne mise en oeuvre.

Côté interlocuteur, le règlement européen prévoir l'instauration d'un guichet unique pour les entreprises ; une simplification bienvenue ?

M^e Renard: C'est un changement conséquent pour les Daf de groupes implantés dans plusieurs pays de l'Union européenne. Jusqu'alors l'entreprise, incarnée le plus souvent par son Daf, avait autant d'interlocuteurs type Cnil nationales que d'implantations. À chaque pays, sa "Cnil" et ses exigences. Avec le règlement, le groupe n'aura qu'un seul interlocuteur, la Cnil du pays européen où est établie la maison mère. Et son avis vaudra pour toutes les autres Cnil car le texte fait peser une obligation forte de reconnaissance entre Cnil européennes. D'ailleurs l'obligation de communication de l'avis de la Cnil référente ne repose pas sur l'entreprise, mais sur la Cnil elle-même. C'est donc une vraie simplification!

Le respect de la vie privée dès la conception d'un produit ou d'une offre -Privacy by Design- devient une réalité

J.-M. Allouët: La simplification est indéniable pour les entreprises, tant du point de vue des process que de la réglementation à appliquer. Mais cela peut, si l'entreprise reste passive, se retourner contre elle. Dans les faits, beaucoup d'entreprises n'ont pas entrepris le travail de déclaration de leur politique de gestion des données personnelles. Actuellement, la complexité sert parfois à justifier cette non validation. Avec le règlement et donc la simplification, cet argument n'est pas recevable. C'est finalement très responsabilisant, et d'ailleurs les sanctions sont alourdies...

Côté process, en l'état actuel du droit, on déclare auprès de chaque Cnil concernée la politique suivie par l'entreprise. Et avec le règlement?

M^e Renard: Ici réside LA modification fondamentale. Aujourd'hui on déclare ou pas. Avec le règlement, chaque entreprise en fonction de l'évaluation de l'impact de son exploitation des données personnelles, devra prendre ou non la décision de faire valider sa politique de protection desdites données. Auparavant la règle était identique pour toutes les entreprises, là on distingue.

J.-M. Allouët: C'est sur une base volontaire que chaque entreprise s'auto-analyse. C'est une lourde responsabilité tant dans la conduite de l'évaluation que dans la prise de décision. En toute logique, certains secteurs seront plus concernés, par exemple le e-commerce, la data mining ou bien encore le secteur médical.

En page suivante : ce que le privacy by design va changer à la stratégie de l'entreprise, la charge de la responsabilité de la protection de la vie privée en cas de sous-traitance...