« RGPD : la dernière ligne droite » : tel est le titre de l’interview de Marie Soulez publiée à J-120 par Labrador, le blog de la communication réglementée.
A J-120 de l’application du RGPD
Il ne reste plus que 4 mois aux entreprises pour se mettre en conformité avec le Règlement européen sur la protection des données (RGPD), dont les dispositions seront directement applicables dans les Etats membres de l’Union européenne le 25 mai 2018.
Comme le rappelle Marie Soulez, avocat au cabinet Lexing Alain Bensoussan Avocats au sein duquel elle dirige le département Propriété intellectuelle Contentieux, dans l’interview qu’elle a accordée au blog Labrador, le périmètre du texte est particulièrement large :
- Le RGPD s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ;
- Il couvre les entreprises et organisations qui utilisent ou stockent des informations personnelles des citoyens européens et de personnes physiques dans l’Union européenne ou de sociétés opérant au sein de celle-ci.
A J-120, c’est donc la quasi-totalité des entreprises traitant des données personnelles de citoyens européens qui est concernée par le Règlement, soit la plupart des organisations partout dans le monde.
Les enjeux à J-120
L’occasion pour Marie Soulez de rappeler les nouvelles obligations que le texte impose aux entreprises :
- réaliser des analyses d’impact avant la mise en œuvre d’un traitement de données à caractère personnel ;
- prendre en compte la protection de la sécurité des données dès la conception du traitement de données concerné ;
- être en mesure, à tout moment, de démontrer la conformité du traitement avec le RGPD.
Afin de mettre à profit les quatre mois qui restent jusqu’au 25 mai 2018, les entreprises seront à ses yeux inspirées de respecter cinq priorités :
- adopter une « posture » Informatique et libertés volontaire, visible et insistante, tendant à se conformer aux obligations découlant à la fois de la loi informatique et libertés et du RGPD ;
- mettre en place une organisation pour assurer la compliance RGPD au sein de l’entreprise et pour cela désigner un « chef d’orchestre » : ce sera, dans certaines situations, le Data protection officer (DPO) ;
- réaliser un « diagnostic », véritable état des lieux destiné à établir une analyse des éventuels d’écarts de conformité ;
- se doter des outils permettant de « documenter » la politique Informatique et libertés : l’entreprise devra dorénavant, en cas de contrôle, être à même de démontrer qu’elle respecte le RGPD ;
- enfin, adopter une démarche dite de privacy by design et de security by default, en plaçant ces principes en amont du pilotage de tous projets.
Consultez le blog Labrador et lisez l’interview de Marie Soulez : « Données personnelles (RGPD), la dernière ligne droite » par Beñat Caujolle, Labrador.fr, 25-1-2018.
Eric Bonnet
Directeur du Département Communication juridique