Actualités

RSS

Mise en conformité à la réglementation protectrice des données personnelles : un vrai chantier

La « GDPR », ou RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE sera d’application directe en mai 2018. Cette règlementation impose de suivre une feuille de route bien précise :

-          Elaborer un registre des traitements mis en œuvre dans l’entreprise.

-          Elaborer des Analyses d’Impact, ou PIA, pour tous les traitements pour lesquels cela s’impose, soit par obligation légale soit parce qu’ils sont structurants

 Le chantier est donc vaste, et il court à l’échec s’il est vu comme un pur centre de coût. Il impacte de nombreuses personnes au sein de l’entreprise et doit être insufflé au niveau le plus haut de la direction.

 C’est exactement pour cette raison que le bon angle pour aborder ce chantier n’est pas exclusivement celui de la « conformité », qui n’est pas une motivation positive si elle n’est dictée que par la peur de la sanction. Il ne faut pas se tromper de sujet. Le vrai sujet de la GDPR n’est pas tant celui de la conformité à des règles complexes orientées vers la protection de l’individu que celui de l’organisation de l’information au sein de l’entreprise.

 

Sans la maîtrise fonctionnelle et technique de l’information, il est vain de prétendre à la conformité : comment supprimer une donnée à l’issue de sa durée de vie utile ? Comment informer les personnes dès que leurs données sont traitées, et ce même si elles n’ont pas été collectées directement auprès de la personne ?  Comment permettre aux personnes d’exercer leurs droits d’accès ?

 Il n’est possible de le faire que si l’entreprise maîtrise ses processus et ses systèmes de conservation et d’archivage

 Il y a une nécessaire convergence entre la conformité à la règlementation protectrice des données personnelles et la maturité de l’entreprise en termes d’organisation de l’information. Cette affirmation vaut, de façon générale, pour la plupart des sujets de conformité actuels, qui renvoient tous à la même question : l’entreprise possède-t-elle la maîtrise de son information, selon les trois axes structurants de cette maîtrise : juridique, organisationnel et technique ?

« Retour



Isabelle Renard

Isabelle Renard est ingénieur de formation. Elle a effectué la première partie de sa carrière dans un grand groupe industriel, dont plusieurs années aux...Lire la suite


Actualités


FNTC

Isabelle Renard est membre expert de la FNTC


©Cabinet IRenard Avocats - Tous droits réservés Site web avocat Absolute Communication - Réalisation : Agence answeb

Actualités

RSS

Mise en conformité à la réglementation protectrice des données personnelles : un vrai chantier

La « GDPR », ou RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE sera d’application directe en mai 2018. Cette règlementation impose de suivre une feuille de route bien précise :

-          Elaborer un registre des traitements mis en œuvre dans l’entreprise.

-          Elaborer des Analyses d’Impact, ou PIA, pour tous les traitements pour lesquels cela s’impose, soit par obligation légale soit parce qu’ils sont structurants

 Le chantier est donc vaste, et il court à l’échec s’il est vu comme un pur centre de coût. Il impacte de nombreuses personnes au sein de l’entreprise et doit être insufflé au niveau le plus haut de la direction.

 C’est exactement pour cette raison que le bon angle pour aborder ce chantier n’est pas exclusivement celui de la « conformité », qui n’est pas une motivation positive si elle n’est dictée que par la peur de la sanction. Il ne faut pas se tromper de sujet. Le vrai sujet de la GDPR n’est pas tant celui de la conformité à des règles complexes orientées vers la protection de l’individu que celui de l’organisation de l’information au sein de l’entreprise.

 

Sans la maîtrise fonctionnelle et technique de l’information, il est vain de prétendre à la conformité : comment supprimer une donnée à l’issue de sa durée de vie utile ? Comment informer les personnes dès que leurs données sont traitées, et ce même si elles n’ont pas été collectées directement auprès de la personne ?  Comment permettre aux personnes d’exercer leurs droits d’accès ?

 Il n’est possible de le faire que si l’entreprise maîtrise ses processus et ses systèmes de conservation et d’archivage

 Il y a une nécessaire convergence entre la conformité à la règlementation protectrice des données personnelles et la maturité de l’entreprise en termes d’organisation de l’information. Cette affirmation vaut, de façon générale, pour la plupart des sujets de conformité actuels, qui renvoient tous à la même question : l’entreprise possède-t-elle la maîtrise de son information, selon les trois axes structurants de cette maîtrise : juridique, organisationnel et technique ?

« Retour


Droit des affaires Droit des nouvelles
technologies