Bases de données client B to B et RGPD: les nouveaux risques

Daf-mag.fr Le site des Directeurs Administratifs et Financiers

- Finance durable
- Fonction finance
- RH
- Trésorerie
- Réglementation
- Risques
- BI
- Start-up
- Actualités
- Dossiers
- Daf TV
- Podcasts
- Glossaire
- Méthodo
- Fiches pratiques
- Événements
- Webinars
- Livres blancs

Accueil / Dossiers / Bases de données client B to B et RGPD: les nouveaux risques

Publié par La rédaction le 20 févr. 2018 | Mis à jour le 28 mai 2018 à 10:59

Lecture
3 min

Imprimer

> CM: Dans le cadre d'une cession de factures client qui implique la transmission des bases de données client à des personnes de type fonds de titrisation, dont la gestion est assurée par des sociétés de gestion, et dont les bases sont vérifiées par des banquiers et conservées par des intermédiaires: qui doit faire signer quoi?

A: La chaîne contractuelle prévoira des garanties de conformité RGPD pour tous les acteurs. Il conviendra d'être capable de s'assurer que tous sont conformes. En pratique, le consentement demandé par l'entreprise qui titrise ses créances commerciales devra être rédigé de telle manière que les personnes dont les données seront transmises soient bien consentantes à ces transferts d'information.

> CM: Quel est le rôle de la Cnil dans la mise en place du règlement européen?

A: Chacune des autorités de régulation nationale voit ses pouvoirs très renforcés en termes de sanctions. La Cnil a toujours été très pédagogue: elle émet des documents et des conseils qui aident les entreprises à mieux comprendre comment se conformer au cadre règlementaire.

> CM: Qui pourrait me dénoncer? Est-ce que les CAC ou la DGCCRF, ou même mes simples partenaires clients ou fournisseurs, ont un rôle?

A: Nous pensons qu'il s'agit surtout des usagers qui vont demander en masse ce que les entreprises font de leurs données personnelles. Ces dernières seront obligées de répondre précisément à ces questions. À défaut, il est vraisemblable que les usagers le notifieront à la Cnil, qui saura que l'entité en question n'est pas conforme.

> CM: Finalement, qu'est-ce qui change vraiment par rapport à ce qu'on connaissait déjà? Ne prévoyez-vous pas une non-catastrophe comme le bug de l'an 2000, ou la mise en place de l'Euro?

A: Le bug de l'an 2000 n'a sans doute pas eu lieu parce que les ingénieurs informatiques ont beaucoup travaillé pour qu'il ne survienne pas. Pour le RGPD, l'Europe a décidé que les données personnelles devaient être protégées. Le cadre réglementaire n'a pas fondamentalement évolué. En revanche, les amendes maximales (le projet de loi en cours en France souligne une astreinte de 100000€/jour au maximum) sont particulièrement élevées et aucune entreprise ne peut prendre le risque d'être condamnée à en payer une. Sans compter que les entreprises incriminées risquent de subir un déficit d'image bien plus important dès lors que les usagers seront sensibilisés à la question. Qui voudra acheter sur un site marchand condamné par la Cnil?