Recherche

Protection des données personnelles des salariés, clients, prospects : quelle politique déployer?

Publié par Florence Leandri le
Lecture
2 min
  • Imprimer

Figure, dans le règlement, l'obligation "de prise en compte des principes et de la législation dans tous les champs de l'entreprise" : qu'est-ce que cela va changer dans la gestion de la data ?

Me Renard: actuellement, la déclaration vaut quitus. Disons pour simplifier que déclarer c'est gagner sa tranquillité. Demain la vraie obligation pour l'entreprise sera de réaliser une analyse d'impact. Par voie de conséquence, un code de bonne conduite semble impératif et la certification assez incontournable. Le respect de la vie privée dès la conception d'un produit ou d'une offre, en anglais Privacy by Design, devient une réalité. La gestion des données personnelles doit être pensée en fonction de leur protection. Autre changement de taille : la responsabilité de la protection des données personnelles. A l'heure actuelle, en cas de sous traitance du SI par exemple, elle repose sur les seules épaules du controller, comprendre du responsable du traitement, donc de l'entreprise cliente. Avec le règlement, la responsabilité est partagée avec le processor, donc le sous-traitant.

Que conseillez-vous en attendant l'entrée en vigueur du règlement, vers 2018, aux entreprises françaises ? De changer d'éditeur de logiciel s'il est américain pour un européen ?

Jean-Marc Allouët : ce n'est pas nécessaire! L'invalidation du Safe Harbour a entraîné une vraie prise de conscience de tous les éditeurs non européens. Ainsi, BDO a été sollicité par une société étrangère qui installe une activité logicielle en Europe sur la conformité de sa politique vis à vis de la réglementation européenne et locale, actuelle et future. Mon conseil? Commencer dès à présent votre étude d'impact de l'exploitation des données personnelles collectées car il y a là un vrai risque opérationnel dont le Daf est garant.

Me Renard: d'autant que si le texte global ne rentre pas en vigueur avant deux ans, la CNIL française a fait savoir qu'elle comptait appliquer dans de brefs délais certaines de ces dispositions. A cette fin elle a publié un guide pour conduire son étude d'impact sur la vie privée. Et puis la vraie question ce n'est pas la nationalité de l'éditeur mais bien le lieu d'hébergement des données. Donc un conseil: dans votre cahier des charges, insister bien sur la question de la localisation des données, notamment privées!

Florence Leandri

Florence Leandri

Rédactrice en chef

Juriste de formation, j’ai débuté mon parcours dans l’édition juridique à destination des avocats, notaires pour ensuite m’orienter vers la [...]...

Voir la fiche
S'abonner
au magazine
Retour haut de page