La protection des données à caractère personnel : les entreprises face à leurs nouvelles obligations
La collecte et le stockage de données à caractère personnel sont essentiels pour les sociétés dans leur stratégie de développement, notamment dans leur offre de personnalisation de services. Ces données sont aussi devenues une véritable monnaie d’échange, ce qui n’est pas sans préoccuper les Européens, fournisseurs malgré eux de cette matière première. Si ces pratiques s’intensifient, elles doivent être juridiquement encadrées afin d’éviter toute dérive. La protection des données personnelles est actuellement régie en France par la loi du 6 janvier 1978 et la directive européenne 95/46/CE du 24 octobre 1995. Dans les vingt-huit États-membres de l’Union, les règles applicables divergent et manquent de cohérence. Cette fragmentation des différentes lois en vigueur entraîne une charge administrative onéreuse qui complique l’accès des sociétés à de nouveaux marchés et un niveau de protection inégal des personnes. Il aura fallu aux États-membres de l’Union européenne plus de quatre ans de négociations pour parvenir à un nouveau texte permettant à l’Europe de s’adapter aux réalités transfrontalières du numérique mais surtout d’uniformiser l’actuelle mosaïque de législations nationales.
Les entreprises sur un pied d’égalité
Le nouveau règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données supprime les obstacles aux échanges transfrontaliers. La réforme a été pensée afin de permettre aux entreprises de regagner la confiance des consommateurs dans l’utilisation de leurs services ainsi que d’apporter un avantage potentiel aux entreprises européennes face à la concurrence internationale. Les entreprises doivent cependant recueillir le consentement de l’internaute avant toute collecte de données et l’informer sur l’utilisation de celles-ci. Elles sont par ailleurs encouragées (mais pas encore obligées) à recourir à des techniques telles que l’anonymat, la pseudonymisation et le cryptage afin de parfaitement protéger les informations recueillies. À noter que la territorialité du droit européen de la protection des données se construit désormais autour de la personne et non plus autour du territoire d’implantation des sociétés. Les entreprises établies en dehors de l’UE ciblant des citoyens européens devront donc également respecter l’ensemble des principes du nouveau règlement.
La désignation d’un délégué à la protection des données
Autre conséquence : l’établissement d’un « guichet unique » chargé de faire respecter les règles. Les entreprises n’auront donc plus qu’un seul interlocuteur responsable de la protection des données : l’autorité du pays où le siège de la société est établi. Toutes les entreprises qui traitent des données, y compris les PME aux activités présentant des risques spécifiques liés à la data protection, devront désigner un délégué à la protection des données, futur interlocuteur de référence auprès de la Cnil. Selon l’Autorité française de contrôle en matière de protection des données personnelles, entre 80 000 et 100 000 entreprises publiques et privées seront concernées. À titre de comparaison, aujourd’hui en France, seules 17 000 sociétés comptent un correspondant informatique et libertés dans leurs rangs. Les entreprises seront dans l’obligation de tenir un registre précis des données personnelles collectées auprès de leurs clients et, en cas de faille de sécurité, elles devront le signaler dans les 72 heures suivant le piratage auprès de la Cnil locale et aux personnes concernées par ce vol de données.
Un durcissement des sanctions
Les entreprises se préparent dès maintenant à mettre en place de nouvelles procédures pour être en accord avec le nouvel ensemble de règles et, d’après une étude du Medef, seules 10 % des entreprises françaises pensent qu’elles seront prêtes au 25 mai 2018. Mieux vaut cependant ne pas être en retard. Les sanctions prononcées en cas d’infraction aux nouvelles obligations pourront s’élever jusqu’à 20 millions d’euros voire jusqu’à 4 % du chiffre d’affaires annuel mondial de la société, le montant le plus élevé étant retenu. Ce durcissement des pénalités vise principalement à responsabiliser les entreprises et à les inciter à prendre des mesures efficaces pour assurer la sécurité des données collectées. Dans un sondage publié dans Les Échos en avril 2017, près de quatre dirigeants d’entreprise sur dix se disent préoccupés par le fait que ces pénalités puissent entraîner des licenciements voire la faillite de leur société.
Pour plus d'informations, retrouvez l'interview de Nathalie Chiche, spécialiste de la protection des données personnelles et fondatrice de Data Expert, qui décrypte pour Décideurs Magazine le nouveau statut protecteur de la data.
Margaux Savarit-Cornali