Recherche

Protection des données personnelles des salariés, clients, prospects : quelle politique déployer?

La data révolutionne l'entreprise. Reste un pan souvent mis de côté: l'exploitation des données personnelles. Comment faire en l'état actuel du droit et au regard du très prochain règlement européen? Il faut penser privacy by design. Explications par Jean-Marc Allouët (BDO) et Me Isabelle Renard.

Publié par Florence Leandri le | Mis à jour le
Lecture
5 min
  • Imprimer
Protection des données personnelles des salariés, clients, prospects : quelle politique déployer?

Après quatre ans de discussion, un accord global entre le Conseil européen et le Parlement européen est intervenu, mardi 15 décembre 2015, sur le règlement européen relatif à la protection des données à caractère personnel. Ce règlement constitue selon Jean-Marc Allouët, associé BDO, spécialisé en conseil et audit des systèmes d'information et Isabelle Renard, avocat (Cabinet IRenard Avocats) et docteur ingénieur, "un bouleversement dans la gestion des données personnelles" pour "toutes les entreprises européennes qui recueillent des données personnelles mais aussi pour les sociétés n'ayant pas leur siège social en Europe mais qui traitent des données personnelles dans cet espace". Explications pour une bonne mise en oeuvre.

Côté interlocuteur, le règlement européen prévoir l'instauration d'un guichet unique pour les entreprises ; une simplification bienvenue ?

Me Renard: C'est un changement conséquent pour les Daf de groupes implantés dans plusieurs pays de l'Union européenne. Jusqu'alors l'entreprise, incarnée le plus souvent par son Daf, avait autant d'interlocuteurs type Cnil nationales que d'implantations. À chaque pays, sa "Cnil" et ses exigences. Avec le règlement, le groupe n'aura qu'un seul interlocuteur, la Cnil du pays européen où est établie la maison mère. Et son avis vaudra pour toutes les autres Cnil car le texte fait peser une obligation forte de reconnaissance entre Cnil européennes. D'ailleurs l'obligation de communication de l'avis de la Cnil référente ne repose pas sur l'entreprise, mais sur la Cnil elle-même. C'est donc une vraie simplification!

Le respect de la vie privée dès la conception d'un produit ou d'une offre -Privacy by Design- devient une réalité

J.-M. Allouët: La simplification est indéniable pour les entreprises, tant du point de vue des process que de la réglementation à appliquer. Mais cela peut, si l'entreprise reste passive, se retourner contre elle. Dans les faits, beaucoup d'entreprises n'ont pas entrepris le travail de déclaration de leur politique de gestion des données personnelles. Actuellement, la complexité sert parfois à justifier cette non validation. Avec le règlement et donc la simplification, cet argument n'est pas recevable. C'est finalement très responsabilisant, et d'ailleurs les sanctions sont alourdies...

Côté process, en l'état actuel du droit, on déclare auprès de chaque Cnil concernée la politique suivie par l'entreprise. Et avec le règlement?

Me Renard: Ici réside LA modification fondamentale. Aujourd'hui on déclare ou pas. Avec le règlement, chaque entreprise en fonction de l'évaluation de l'impact de son exploitation des données personnelles, devra prendre ou non la décision de faire valider sa politique de protection desdites données. Auparavant la règle était identique pour toutes les entreprises, là on distingue.

J.-M. Allouët: C'est sur une base volontaire que chaque entreprise s'auto-analyse. C'est une lourde responsabilité tant dans la conduite de l'évaluation que dans la prise de décision. En toute logique, certains secteurs seront plus concernés, par exemple le e-commerce, la data mining ou bien encore le secteur médical.

À noter: pour aider les entreprises, le règlement comporte une liste d'indices qui doivent conduire l'entreprise à solliciter une validation. De plus le texte prévoit la création d'une autorité européenne, laquelle aura pour mission, notamment, de réaliser une liste des secteurs d'activités les plus susceptibles de faire valider leur politique de protection des données personnelles.

En page suivante : ce que le privacy by design va changer à la stratégie de l'entreprise, la charge de la responsabilité de la protection de la vie privée en cas de sous-traitance...

Figure, dans le règlement, l'obligation "de prise en compte des principes et de la législation dans tous les champs de l'entreprise" : qu'est-ce que cela va changer dans la gestion de la data ?

Me Renard: actuellement, la déclaration vaut quitus. Disons pour simplifier que déclarer c'est gagner sa tranquillité. Demain la vraie obligation pour l'entreprise sera de réaliser une analyse d'impact. Par voie de conséquence, un code de bonne conduite semble impératif et la certification assez incontournable. Le respect de la vie privée dès la conception d'un produit ou d'une offre, en anglais Privacy by Design, devient une réalité. La gestion des données personnelles doit être pensée en fonction de leur protection. Autre changement de taille : la responsabilité de la protection des données personnelles. A l'heure actuelle, en cas de sous traitance du SI par exemple, elle repose sur les seules épaules du controller, comprendre du responsable du traitement, donc de l'entreprise cliente. Avec le règlement, la responsabilité est partagée avec le processor, donc le sous-traitant.

Que conseillez-vous en attendant l'entrée en vigueur du règlement, vers 2018, aux entreprises françaises ? De changer d'éditeur de logiciel s'il est américain pour un européen ?

Jean-Marc Allouët : ce n'est pas nécessaire! L'invalidation du Safe Harbour a entraîné une vraie prise de conscience de tous les éditeurs non européens. Ainsi, BDO a été sollicité par une société étrangère qui installe une activité logicielle en Europe sur la conformité de sa politique vis à vis de la réglementation européenne et locale, actuelle et future. Mon conseil? Commencer dès à présent votre étude d'impact de l'exploitation des données personnelles collectées car il y a là un vrai risque opérationnel dont le Daf est garant.

Me Renard: d'autant que si le texte global ne rentre pas en vigueur avant deux ans, la CNIL française a fait savoir qu'elle comptait appliquer dans de brefs délais certaines de ces dispositions. A cette fin elle a publié un guide pour conduire son étude d'impact sur la vie privée. Et puis la vraie question ce n'est pas la nationalité de l'éditeur mais bien le lieu d'hébergement des données. Donc un conseil: dans votre cahier des charges, insister bien sur la question de la localisation des données, notamment privées!

Livres Blancs

Voir tous les livres blancs
S'abonner
au magazine
Retour haut de page