Menu

1er réseau d'entrepreneurs de croissance

engagés pour libérer l'économie et favoriser la croissance des entreprises

Workshop : Protection des données – Anne-Laure Villedieu

Anne-Laure-VilledieuChaque semaine des experts partenaires de CroissancePlus animent des ateliers sur des problématiques concrètes auxquels les entrepreneurs sont confrontés. Le 3 octobre 2017, Anne-Laure Villedieu, avocat associé chez CMS Bureau Francis Lefebvre, intervenait sur le RGDP.

La protection des données à caractère personnel change de cap : son passage du statut de directive à celui de règlement implique de profonds changements. Entreprises, préparez-vous !

Applicable à l’ensemble des États de l’Union européenne, le General Data Protection Regulation (GDPR) entrera en application le 25 mai 2018. Ce règlement uniformisera la protection des données, dans un meilleur respect du droit de la concurrence et renforcera le droit des personnes physiques en interdisant tout traitement des données sans le consentement de celles-ci. Son champ d’application est par ailleurs plus large : demain, le sous-traitant, au même titre que le responsable de traitement, sera responsable légalement.

En effet, le principe fondamental du règlement européen – the accountability – consiste en une responsabilisation plus forte des entreprises. À tout moment, elles doivent être capables de prouver qu’elles respectent les principes relatifs au traitement des données personnelles. Le champ d’application territoriale du règlement est également étendu.

Car l’un des objectifs sous-jacents au GDPR est bien de ne plus permettre aux entreprises étrangères, particulièrement aux GAFA (Google, Apple, Facebook, Amazon), d’échapper à son application. D’où les deux niveaux de sanctions mises en place en cas de non-respect de la réglementation : des amendes pourront s’appliquer pour un montant allant de 10 millions d’euros et 2 % du chiffre d’affaires annuel mondial jusqu’à 20 millions d’euros et 4 % du chiffre d’affaires annuel mondial. En France, avant la loi sur la République numérique, les sanctions administratives s’élevaient à 150 000 euros …

Quel changement profond pour les entreprises ?

La grande nouveauté est que les entreprises vont devoir intégrer la composante « protection des données personnelles » à chaque stade de leur activité. Le principe de privacy by design and by default , l’obligation de tenir à jour un registre des traitements mis en œuvre en leur sein, l’obligation de désigner un délégué à la protection des données personnelles (Data Protection Officer, DPO) dès lors qu’elles traitent, pour les besoins de leurs activités essentielles, des données à grande échelle, et ce, quelle que soit la taille de l’entreprise.

Le DPO est-il nécessairement une personne de l’entreprise ?

Il peut faire partie de l’entreprise, mais cette fonction peut aussi être externalisée. Des entreprises privées proposent ce service et les cabinets d’avocats peuvent également s’en charger.

Quels conseils peut-on actuellement donner aux entreprises ?

Dès à présent, les entreprises doivent entamer les démarches nécessaires à l’adaptation du projet GDPR pour mettre en place une feuille de route leur permettant d’être effectivement en conformité dès le 25 mai 2018.

Anne-Laure Villedieu, avocat associé chez CMS Bureau Francis Lefebvre

 

Retrouvez la présentation de son intervention auprès des entrepreneurs de CroissancePlus :

Présentation CMS BFL RGPD OK ALV

 

Retrouvez le 10ème magazines des Entrepreneurs