@DPO_News Protection des données personnelles : êtes-vous prêts ?

Cyberisques News Idées: Olivier de Maison Rouge, Avocat

 

 

Protection des données personnelles : êtes-vous prêts ? 

 

 

Le règlement général sur la protection des données personnelles (RGDP) entrera en vigueur le 25 mai 2018. Il est temps de s’y préparer avec méthode et efficacité. Olivier de Maison Rouge, Avocat pose trois questions essentielles que chaque entreprise doit se poser et les réponses pour agir.

 

 

Le RGDP et la protection des données, quels sont les principaux enjeux pour votre entreprise ? Et vos clients ?

 

Si la France avait longtemps fait figure de « premier de la classe » en qualité de précurseur sur la question des données personnelles, dès 1978, désormais, les entreprises doivent s’adapter aux nouvelles règles issues du RGPD, applicables en mai 2018.

Vos données personnelles, principalement des fichiers clients, doivent désormais faire l’objet de la plus grande attention et leur utilisation répondre aux exigences des autorités. Leur gestion peut être organisée en interne par un service dédié. Autre solution, confier la gestion de vos données personnelles à un avocat qui remplira cette mission avec indépendance selon les critères retenus par le RGPD. Il faut pour cela choisir le bon profil, car le délégué à la protection des données (DPO) désigné à cet effet est force de conseil et  d’assistance dans toutes activités de l’entreprise dès lors qu’elles touchent aux données personnelles. A titre d’exemple, chaque nouveau projet doit intégrer en amont une réflexion et si nécessaire un mode opératoire intégrant la protection des données personnelles ; le DPO doit avoir la science suffisante pour accompagner les équipes dédiées.

 

 

Quelles sont les priorités avant la fin de l'année ? en 2018 ?

 

Vous devez, en priorité mettre en place un dispositif d’alerte professionnelle interne (lanceurs d’alerte) applicable au 1er janvier 2018, conforme aux règles énoncées par la CNIL mais encore désigner en amont un DPO (délégué à la protection des données, ex-CIL, né du RGPD), avant mai 2018, outre, le cas échéant, initier une approche en matière de sécurité des informations non divulguées (secret des affaires) pour juin 2018

Les implémentations de ces nouvelles règlementations successives doivent donc être savamment coordonnées et anticipées, dans la mesure où elles seront incontournables (notamment en regard des amendes susceptibles d’être prononcées) et constituent pour l’avenir un socle fondamental concernant la gestion de toutes données de l’entreprise. Le dernier trimestre de l’année 2017 doit permettre d’envisager sereinement cette évolution digitale significative.

 

 

Quels conseils pour mettre en place une task force dans votre entreprise, quelle que soit sa taille ? 

 

Il convient  de désigner les bons interlocuteurs internes et externes. A l’approche des prochaines échéances (RGPD, Sapin 2, …) de nombreux métiers au sein de l’entreprise seront directement ou indirectement impactés. Il faut dès lors rationnaliser les actions opérationnelles et fonctionnelles pour éviter de vivre ces nouvelles obligations comme une contrainte, mais davantage comme un vecteur de développement en tant qu’avantage concurrentiel.

De fait, plusieurs choix sont à faire en ce sens et, au lieu de disperser les missions, il importe de privilégier une approche globale et convergente de nature juridique, technologique et s’assurer de la mise en place d’un service ou d’une personne dédié (e) aux informations et alertes professionnelles internes, qui puisse éventuellement tout à la fois être, le cas échéant, DPO, référent de premier rang de la Loi Sapin 2, délégué à la protection des données sensibles … Cela se traduit in fine par l’émergence d’un nouveau métier tel que « délégué à la sûreté et à la conformité des données ».

 

 

A propos de l'auteur

 

Olivier de Maison Rouge est avocat et Docteur en droit. Il est également diplômé de Sciences politiques. Il est professeur associé à l’Ecole des relations internationales (ILERI) et à l’Ecole de Guerre Economique (EGE), intervenant à l’IHEDN et à l’Ecole Nationale de la Magistrature (ENM). Il est membre de la commission permanente « secrets d’affaires » de l’AIPPI, du comité d’éthique du syndicat français de l’intelligence économique (SYNFIE) et vice-Président de la Fédération Européenne des Experts en Cybersécurité (EFCSE). Il est l’auteur de deux ouvrages : « Le droit du renseignement - renseignement d’Etat, renseignement économique », LexisNexis, coll. Actualité, 2016 ; Le Droit de l’intelligence économique. Patrimoine informationnel et secrets d’affaires, Lamy, coll. Axe Droit, 2012.

 

 

BONUS: 

 

Rappels Cyberisques NEWS: 

Source CNIL : Extrait rapport annuel 2016 enjeux 2017

Les enjeux de 2017 (2) : disposer impérativement d’une nouvelle loi Informatique et Libertés avant mai 2018

Le règlement européen comporte de très nombreux renvois au droit national. Par ailleurs, il n’est pas applicable à certains traitements de données, notamment les fichiers relatifs à la sécurité publique. Le Parlement devra donc adopter une nouvelle loi « informatique et libertés » pour tenir compte de ce nouvel environnement européen qui devra être impérativement adoptée avant le 25 mai 2018, sous peine de rendre très largement inapplicable le nouveau cadre de protection en France.

Le règlement européen comporte 57 mentions ou renvois au droit des Etats membres, donc au droit national. En outre, parallèlement au règlement, a été adoptée une directive applicable aux fichiers en matière de sécurité publique et de recherche et répression des infractions pénales (dite « police-justice »). Il est donc indispensable que le Législateur, en France, procède à une adaptation profonde de la loi « informatique et libertés » pour tenir compte de cette évolution et parachever l’environnement réglementaire, et transposer la directive « police-justice »

Concrètement, la loi devra comporter plusieurs types de dispositions.

La loi devra tout d’abord abroger une série d’articles dont la substance est reprise par le règlement ou qui ne peuvent pas coexister avec celui-ci. Tel est notamment le cas de la plupart des articles relatifs aux définitions, règles et principes en matière de protection des données, ainsi que de la plupart des dispositions relatives aux droits des personnes et aux obligations des entreprises ; La loi devra ensuite redéfinir les procédures applicables à la CNIL impactées par le règlement, notamment en matière répressive, afin de prévoir l’européanisation des procédures ; Le Législateur se prononcera également sur les règles applicables dans les matières pour lesquelles le règlement renvoie au droit des Etats membres.

Le règlement fixe le cadre général applicable à l’ensemble des traitements de données à caractère personnel. Toutefois, compte tenu des spécificités de certaines données, ou de l’imbrication entre le droit de la protection des données et d’autres pans du droit (santé, etc.), le règlement européen renvoie, dans plusieurs hypothèses, au droit national.

Les renvois du règlement au droit national sont assez divers, rendant complexe une présentation synoptique. Le chapitre IX a pour objet d’énumérer des champs d’intervention dans lesquels les Etats membres peuvent préciser ou déroger au règlement : traitements journalistiques, traitements et accès du public aux documents officiels, traitement du NIR, traitement des données au travail, traitement des données à des fins de recherche historique, scientifique ou statistique, obligations de secret. Mais il existe aussi des dispositions disséminées, qui renvoie le soin aux Etats membres de fixer les mesures et garanties appropriées ou de compléter les règles existantes.   

 

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires