« Pouvoir démontrer une réelle maîtrise des données »

A partir du 25 mai, chaque entreprise devra mieux garantir la protection des données personnelles dont elle dispose, et ne pourra effectuer des traitements de données personnelles que si elle y est autorisée. Elle devra aussi pouvoir répondre aux requêtes des citoyens désireux de faire valoir leurs nouveaux droits.

de g. à d.: Dan Zandona, Senior Manager – EY Luxembourg et Alexandre Minarelli, Cybersecurity & Data Privacy Leader – EY Luxembourg

Il reste quelques semaines, à peine, pour se mettre en conformité avec le nouveau règlement européen sur la protection des données personnelles. Et si l’on ne s’attend pas à voir les sanctions pleuvoir au lendemain du 25 mai, les entreprises ont intérêt à montrer une maîtrise accrue de l’ensemble des enjeux liés à la protection et au traitement des données des ressortissants européens. 

La date d’entrée en vigueur du nouveau Règlement Général sur la Protection des Données personnelles (RGPD) approche à grands pas. A partir du 25 mai, chaque entreprise devra mieux garantir la protection des données personnelles dont elle dispose, et ne pourra effectuer des traitements de données personnelles que si elle y est autorisée. Elle devra aussi pouvoir répondre aux requêtes des citoyens désireux de faire valoir leurs nouveaux droits. « Cette réglementation s’applique à tous les secteurs et tous types d’entreprises. Certaines s’interrogent encore sur la manière de se mettre en conformité étant donné que le RGPD ne définit pas spécifiquement le dispositif opérationnel à mettre en place», commente Dan Zandona, Senior Manager au sein du département Advisory Services d’EY Luxembourg.

Des chantiers d’ampleurs diverses

Les mesures à prendre en matière de gestion des données personnelles dépendent de la situation de chacun. « L’enjeu est particulièrement capital pour toutes les sociétés dont le business dépend directement ou indirectement du traitement des données personnelles. Les premiers visés par ce règlement sont les géants de l’e-commerce et du digital, ainsi que tous les acteurs qui proposent des services digitaux », commente Alexandre Minarelli, Cybersecurity & Data Privacy Leader, EY Luxembourg. « Si le chantier est conséquent pour les acteurs financiers, il est sans doute moins difficile à appréhender pour eux que pour de nombreux autres business. Les institutions financières au Luxembourg répondent déjà à des règles de confidentialité strictes. C’est moins le cas de nombreuses PME dans d’autres secteurs », précise Dan Zandona.

Être en mesure de justifier chaque traitement

Les questions que la plupart des acteurs se posent aujourd’hui ont trait à ce qui doit être impérativement mis en œuvre pour éviter de se retrouver dans une situation délicate vis-à-vis des autorités de contrôle. « RGPD affirme clairement que chaque individu reste propriétaire de ses données et demande aux organisations de limiter les risques liés à l’exploitation des données personnelles de chacun. Le cadre vise à renforcer la confiance du citoyen à l’égard de l’usage qui peut être fait de ses données en lui octroyant une série de droits », explique Alexandre Minarelli.

Dans un premier temps, il est probable que les autorités de contrôles adoptent une position conciliante, pour guider chaque entreprise vis-à-vis de ses nouvelles responsabilités à l’égard des données personnelles. Il apparait cependant clair que tous devront être en mesure de se justifier quant à la manière avec laquelle ils les protègent et les traitent. « Face aux autorités, l’enjeu sera de démontrer que l’on maîtrise les données dont on dispose. Cela peut impliquer la réalisation d’un registre des traitements de données personnelles et conduire et documenter une analyse des risques par rapport à ces données. Il est également important que chacun s’inscrive dans une dynamique d’amélioration continue en matière de protection et de traitement des données personnelles », commente Dan Zandona. Vis-à-vis de prestataires extérieurs amenés à traiter ou héberger des données, il est important de clarifier contractuellement les responsabilités de chacun.

Il faudra aussi pouvoir justifier les traitements de données effectués. Un traitement peut avoir une base légale ou contractuelle. Il peut aussi être admis s’il répond à l’intérêt légitime du résident européen concerné. Sans quoi, il faut pouvoir disposer de son consentement actif pour procéder à des traitements particuliers. « Si la notion d’intérêt légitime peut permettre de justifier de certains traitements, il y a un réel enjeu à aller chercher les consentements des clients pour tout traitement qui ne relève pas directement d’un contrat ou d’un traitement exigé par la loi », commente Alexandre Minarelli.

Mieux gérer le cycle de vie des données

Mais l’enjeu relatif à RGPD ne se limite pas à une mise en conformité. Au-delà du 25 mai, de nouvelles procédures devront être mises place pour toujours mieux garantir la gestion des données personnelles tout au long de leur cycle de vie. Les entreprises devront répondre aux principes de privacy by design, c’est-à-à-dire, qu’elles devront prendre en compte la protection des données personnelles dès les premières étapes de la conception, et tout au long du processus de développement, de nouveaux services, outils ou produits.

Chaque entreprise aura un mois pour répondre à tout citoyen désireux de faire valoir ses droits. « Chaque individu pourra demander à n’importe quelle société de lui transmette l’ensemble des données dont elle dispose le concernant. L’organisation devra aussi être en mesure de les supprimer à sa demande », explique Dan Zandona. Si une base légale oblige la société à conserver les données pendant une certaine période par exemple, il faudra mettre en place les procédures garantissant leur suppression à terme. « Aujourd’hui, il est difficile d’évaluer le volume de requêtes qui seront formulées, assure Alexandre Minarelli. Quand les grands groupes vont mettre en place des processus automatisés, d’autres y répondront au cas par cas, en attendant sans doute que des solutions accessibles voient le jour. »