Directive européenne sur la protection des données : quo vadis ?

 

Le Jeudi, 5 janvier 2017

Frédéric Vonner, associé et GDPR Leader chez PwC Luxembourg

 

Officiellement adoptée au printemps dernier, la réforme du régime de protection des données (GDPR pour General Data Protection Regulation) entrera en vigueur en mai 2018. Cette refonte de la réglementation européenne en matière de données personnelles sera applicable à toutes les entreprises fournissant des biens et services et détenant des informations personnelles de citoyens européens. Deux ans après l’annonce de cette nouvelle réglementation, les entreprises publiques et privées semblent sensibilisées a minima quant à la mise en conformité de leur organisation, voire peu préparées à ce nouvel enjeu réglementaire à l’impact très important, y compris financier. Il est donc indispensable, fin 2016, que l’ensemble des organisations prennent conscience du défi que représente la mise en place de cette nouvelle réglementation. Elles ont à présent un peu plus d’une année pour se mettre en conformité avec leurs nouvelles obligations.

La sécurité informatique, alter ego de la réglementation

La protection des données personnelles avec la digitalisation de l’économie est devenue une préoccupation essentielle des organismes de régulation européenne.  Très régulièrement, les media reportent la grande vulnérabilité de systèmes informatiques d’entreprises de toutes tailles et de tous secteurs d’activité qui utilisent ou stockent des données personnelles victimes de cyberattaques. La nouvelle réglementation européenne risque de mettre ce genre de dysfonctionnement davantage encore sur la scène médiatique, puisque toute entreprise victime de fuites de données sera dans l’obligation de les notifier à ses clients sous 72h. Actuellement, seuls les fournisseurs d’accès internet et leurs sous-traitants doivent satisfaire à ce type d’obligation. A compter de mai 2018, toutes les entreprises s’exposeront à des sanctions pouvant s’élever à 20 millions d’euros ou 4% du CA annuel mondial de l’entreprise en cas de fuite de données s’il est prouvé que cette dernière ne s’est pas mise en conformité avec la réglementation ou en cas de violation d’un des principes fondamentaux de l’autorité de contrôle européen.

Mise en conformité : où en est-on ?

Certains éléments sont à considérer comme des enjeux majeurs dans la mise en application de la nouvelle réglementation européenne : sécurisation des données, outils de sécurité performants, restrictions liées au système informatique, ressources humaines et financières … nombreux sont les obstacles à lever. Un constat s’impose : deux ans après l’annonce de la nouvelle réglementation, seule une petite proportion de dirigeants semblent avoir pleinement saisi les étapes nécessaires pour se conformer à cette nouvelle directive européenne, comme par exemple la mise en place d’un responsable ad hoc de la protection des données, plus communément appelé DPO (pour Data Protection Officer), qui devra être recruté ou identifié, et en fonction dans des délais eux aussi très courts.

L’entrée en vigueur au printemps dernier du règlement européen a sonné le début d’un compte à rebours ; une courte durée dont disposent les entreprises pour se mettre en conformité avec ce règlement. A l’issue de cette période, l’ensemble des dispositions sera applicable : les entreprises confrontées à ce corpus réglementaire sont donc fortement encouragées à amorcer dès aujourd’hui leur processus de transition…

Contact us

Youcef Damardji
Communications & Media Relations
Tel: +352 49 48 48 5821
Email

Follow us