Pourquoi agir ?

Le tsunami de la protection des données personnelles.  

Le règlement UE n° 2016/679, dit règlement général sur la protection des données renforce la réglementation des traitements de données à caractère personnel en Europe. Dès lors, si vous traitez des données personnelles, vous devez être en mesure de démontrer votre propre conformité en matière de sécurité, de transparence et de respect de la vie privée. Souvent appelé par son acronyme anglais GDPR (« General Data Protection Regulation »), il est applicable depuis le 25 mai 2018, quel que soit le pays où les données sont traitées.  

Les normes de protection, de sécurité et de conformité des données sont uniformisées au sein de l’espace Européen. Tous les opérateurs vont être traités sur un pied d’égalité. Être conforme, c’est un facteur de différenciation concurrentielle

Les consultants de la Legaltech Quid IA s’engagent pour leurs clients dans la nécessaire mise en conformité du RGPD, car, désormais, être conforme est un réel facteur de différenciation concurrentielle.

La conformité au RGPD est une nécessité : 

Dès lors que vous traitez ou collectez, de manière directe ou indirecte, des données à caractère personnel, vous devez être en mesure de démontrer votre conformité au RGPD

La notion « d’accountability », clé de voûte de la conformité, vous impose d’adopter une logique de compliance dynamique. Elle est définie par la CNIL comme « l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ». Elle se déploie au travers d’une stratégie de traçabilité, afin d’appréhender les nouveaux risques et responsabilités. 

Cette traçabilité, issue de l’inversion probatoire imposée par le RGPD, se traduira par la mise en place de mesures techniques, juridiques et organisationnelles, telles que la tenue du registre des traitements (obligatoire si votre entreprise compte plus de 250 employés ou effectue des traitements à risque / fortement conseillé pour les autres).

S’inscrivent également dans cette logique de traçabilité la nomination d’un DPO, l’horodatage des consentements ou la tenue d’une analyse d’impact, nécessaire, notamment en cas de recours aux nouvelles technologies tels que l’Internet des Objet (IOT) et l’Intelligence artificielle (Google Assistant, Siri d’Apple, Alexa d’Amazon), ou de traitement de catégories particulières de données personnelles (les « données sensibles ») à grande échelle (par exemple, les données biométriques, de santé, comportementales ou idéologiques de vos clients, dans le cadre de la vente de produits diététiques). 

Cette traçabilité est d’autant plus importante que le RGPD renforce les droits des personnes concernées par vos traitements : droit d’accès, droit d’opposition, droit de rectification, droit à l’effacement, droit au refus du profilage, droit à la portabilité…

Le consentement est la clé de voûte du RGPD : l’opt-in (la démonstration d’un acte positif, clair et précis), voire le « double opt-in » est désormais la règle. Cela signe la fin de la pratique de l’opt-out ou de l’opt-in passif pour le marketing en ligne. La tenue d’un registre des consentements auditable, toujours dans cet objectif probatoire, devra être prévue. 

La transparence et les informations à fournir lors de la collecte des données sont également renforcées (Identité et coordonnées du responsable du traitement, des sous-traitants, du DPO - Finalité et base juridique du traitement - Mention des droits de la personne - Destinataires des données - Existence d’une prise de décision automatisée…). 

Enfin, vos obligations en matière de sécurité des données sont renforcées. Il vous faudra suivre les dernières recommandations de la CNIL et de l’ANSSI (par exemple en matière de sécurité des mots de passe, de cryptage, de sécurité des serveurs) pour que votre responsabilité ne puisse pas être engagée. 

Outre l’impact négatif sur vos systèmes informatiques, c’est bien le cœur de votre entreprise qui serait touchée en cas d’attaque : vous êtes les gardiens des données de vos clients. Ils vous investissent d’une confiance qui vous oblige.

Le RGPD : L’approche par les risques (financiers, contentieux, attaque à la réputation)

Recours juridictionnel : 

Nous anticipons, avec notre partenaire le cabinet d’avocats Altij,  le développement de contentieux inévitables avec l’avènement des recours suivants : 

  • Droit à un recours juridictionnel contre le responsable du traitement ou le sous-traitant ;

  • Droit à réparation du préjudice subi ;

  • Droit de mandater un organisme à mener une action ;

  • Actions de groupe renforcées en France.

Sanctions administratives :  

La CNIL dispose de larges pouvoirs de sanction, notamment : 

  • Avertir le responsable

  • Lui ordonner de satisfaire aux demandes de la personne concernée

  • Limiter ou interdire un traitement ou imposer des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial

Réputation :  

Les sanctions de la CNIL sont de plus en plus souvent publiées. Elles entachent la réputation des sociétés concernées et grèvent leur image auprès du grand public. De la même façon, les recours contentieux, tout comme les simples failles sont relayés par les médias et les réseaux sociaux.

Responsabilité du dirigeant : 

La responsabilité civile et pénale du dirigeant peut être engagée notamment si le responsable du traitement n’a pas pris toutes précautions utiles pour préserver la sécurité des données. Ainsi, si vous négligez de suivre les différentes recommandations en matière de formation de votre personnel, de gouvernance de vos données, de sécurité physique et logique (chiffrement, anonymisation) en tant que responsable du traitement, vous pouvez engager votre responsabilité. 

Nos consultants et nos partenaires avocats vous fournissent les clés pour vous protéger.

Le RGPD est une opportunité 

Un atout concurrentiel : Être « privacy friendly » sécurise et fidélise la clientèle.

Valorisation : 

La donnée devient une valeur patrimoniale, qui va augmenter si elle est de qualité et licite. La mise en conformité et la sécurisation de vos données doivent être considérées comme un investissement. Il permettra d’optimiser la gestion du cycle de vie des données, tout comme leur protection par le droit d’auteur. 

Un fichier qui ne respecte pas les impératifs de la réglementation informatique et libertés lui fait perdre toute valeur, celui-ci devenant illicite et donc hors commerce.

Image : 

La communication sur votre mise en conformité au RGPD vous identifie comme une entreprise fiable et établit un lien de confiance. Vous êtes à même de collecter des données de meilleure qualité et vous remettez l’Humain au centre de votre politique.

Responsabilité sociale des entreprises :

Dans le contexte actuel de cybercriminalité et de spamming accru, la protection des données est devenue un critère de la politique RSE d’une entreprise. La protection des données et la RSE s’inscrivent dans une démarche éthique et responsable auprès de ses partenaires, de ses salariés et de ses clients.

Face à ces enjeux, notre équipe de consultants Quid IA et le cabinet d’avocats Altij , se tiennent à votre disposition pour échanger et définir, avec vous, les démarches à accomplir au regard des caractéristiques de votre structure.

Notre offre vous intéresse ?

Remplissez notre formulaire de contact et nous reviendrons vers vous le plus rapidement possible.