DONNEES PERSONNELLES : un reglement pour les Entreprises

Source : FIC 2017

Exprimée comme une extension à la vie privée ou comme un droit nouveau, la protection des données à caractère personnel est en cours d’évolution. Le nouveau règlement 2016/679 du Parlement européen concernant la GDPR entrera en vigueur dès le 25 mai 2018. Ce règlement harmonise non seulement le rôle des CNIL européennes et permet par sa force obligatoire d’effacer les distorsions de traitement entre pays et enfin d’avoir le poids nécessaire dans les débats à l’international avec en tête le Privacy Shield en vigueur depuis août dernier.  Il introduira de nouvelles obligations de responsabilité, un renforcement des droits des consommateurs et des restrictions sur les flux de données internationaux. Pour les aider dans la mise en œuvre des projets visant à assurer leur mise en conformité, les entreprises peuvent s’appuyer sur les guides d’implémentation rédigés par le G29 (Groupement des CNIL européennes) dont les trois premiers ont été adoptés et publiés en décembre dernier.

En cas de non-respect de la réglementation, les entreprises contrevenantes s’exposent à des amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent. L’échéance de 2018 peut paraître lointaine, mais si l’on en croit IDC, « Par son ampleur, sa complexité, son coût et son importance stratégique, la mise en conformité au règlement GDPR prendra (au moins) deux ans aux entreprises ». 

Et pourtant, les entreprises sont plutôt en retard. Selon les résultats d’une étude de Vanson Bourne, 18 mois de l’échéance plus d’une entreprise sur deux n’avait pas encore mis en place les mesures nécessaires pour être conformes au GDPR.