General data protection regulation: texts, commentaries and practical guidelines

JF Henrotte Bensoussan  Gallardo Fanti

Un tournant est en passe de se faire en matière de protection des données personnelles. En effet, dans un peu plus d’un an, le règlement européen sur la protection des données du 27 avril 2016 sera applicable partout en Europe.


Ce texte est fondamental pour l’ensemble des entreprises qui stockent et gèrent des données à caractère personnel. Et le développement exponentiel des objets connectés et du Big data rendent ce texte plus important encore.


 

Jean-François Henrotte, Alain Bensoussan, Marc Gallardo et Sébastien Fanti décortiquent, dans leur nouvel ouvrage, les arcanes de ce nouveau réglement.


Qu’est-ce qui a motivé l’équipe d’auteurs à rédiger cet ouvrage ?

Tout simplement l’imminence d’un bouleversement majeur de l’environnement digital des entreprises, de nature à les impacter en profondeur.

En effet, le règlement européen sur la protection des données du 27 avril 2016, dont les dispositions seront applicables dans l’ensemble des Etats membres de l’Union européenne dans quasiment un an jour pour jour (le 25 mai 2018) marque un tournant dans la régulation des données personnelles.

Le compte à rebours a commencé : celles-ci vont très vite devoir prendre la mesure de ce texte fondamental qui consacre de nouveaux concepts, et repenser leur politique de conformité Informatique et libertés.

A défaut, elles risquent de se voir exposées à des risques d’atteinte à leur réputation et de condamnations civiles et même administratives.

Une chose est certaine : dans un monde hyper connecté, la protection des données à caractère personnel n'a jamais été autant au cœur des préoccupations des entreprises.

C’est la raison pour laquelle il nous a semblé utile, avec mon confrère et ami Alain Bensoussan, précurseur en France et en Europe du droit des données à caractère personnel et fondateur de Lexing, le réseau international d’avocats en droit des technologies avancées, de brosser un tableau des nouvelles contraintes pesant dans ce domaine sur les entreprises, en publiant ce premier commentaire article par article du règlement 2016/679.


Quelles réglementations encadrent la matière ? 

L’arsenal juridique récent tient pour l’essentiel, au-delà des textes nationaux particuliers à chaque pays, en deux textes européens : d’une part la directive dite « NIS », d’autre part le règlement général protection des données.

La directive relative à la sécurité des systèmes d’information du 6 juillet 2016, plus connue sous le nom « directive NIS » (network and information security), est entrée en vigueur le 9 septembre 2016.

Les Etats membres ont jusqu’au 9 mai 2018 pour la transposer, les dispositions de la loi nationale devant être applicables au 10 mai 2018.

De façon générale, la directive a pour objectif et pour ambition de mettre en place, pour opérateurs dits d’importance vitale (OIV), un ensemble de règles contraignantes notamment sur le plan de la gestion et la notification des failles de sécurité. Ce qui implique pour l’entreprise :

- de s’organiser pour identifier ces éventuelles failles et gérer leur identification et leur correction;

  •  une gouvernance particulière : renforcement de pouvoirs du RSSI, révision des chartes d’usage de l’Internet, mais également audit de la solidité et de la robustesse des outils logiciels utilisés par l’entreprise pour prévenir l’apparition de ces failles et prévenir les intrusions éventuelles.

Le second texte, celui qui nous intéresse ici, est évidemment le Règlement européen dit « Data Protection » précité du 27 avril 2016, objet du présent ouvrage.

A qui s’adresse cet ouvrage ? 

L’ouvrage s'adresse à tous ceux qui sont concernés par l’application du Règlement et la mise en conformité au regard de ses dispositions en vue de son application en 2018 : juristes d’entreprises, avocats, délégués à la Protection des données (DPO), mais aussi responsables de la Sécurité des Systèmes d'Information (RSSI) et  responsables de la conformité.

Que doivent mettre en œuvre les entreprises pour respecter la réglementation en la matière ? A quels risques s’expose une entreprise qui ne la respecterait pas ?

D’ici mai 2018, les entreprises publiques comme privées vont devoir prendre la mesure des obligations découlant du nouveau texte et des concepts innovants qu’il consacre (Privacy by design, Security by default, Accountability…).

A défaut, elles risquent de se voir exposées, en cas d’attaque, à des risques d’atteinte à leur réputation et de violation du secret des affaires, au titre du détournement de leurs données personnelles mais également celles de leurs partenaires et clients, ainsi qu’à des risques de condamnations civiles et même administratives, si notamment elles se trouvent associées via leur réseau informatique à toute sorte d’actions illégales.

A l’arrivée, le préjudice de l’entreprise peut s’avérer extrêmement important en termes d’image, de chiffres d’affaires, de perte de compétitivité, de divulgation volontaire de secrets d’affaires ou autres.

L’enjeu est primordial pour les entreprises : les sanctions susceptibles d’être prononcées sont très élevées, jusqu’à 4 % du chiffre d’affaires mondial !

Cet ouvrage a été rédigé par des membres du réseau Lexing. Pourriez-vous nous présenter l’équipe d’auteurs ?

Dirigé par Alain Bensoussan, l’ouvrage a bénéficié de l’expérience des membres espagnol, suisse et belge du réseau : Marc Gallardo (Espagne), Sébastien Fanti (Suisse) et moi-même pour la Belgique.


 
J’ajoute que l’ouvrage a été préfacé par Isabelle Falque-Pierrotin, présidente du Groupe de l’article 29 (G29) qui réunit l’ensemble des régulateurs européens.

Pourquoi avoir choisi de rédiger cet ouvrage en anglais ?

L'anglais reste, qu’on le veuille ou non, la langue des affaires et la langue la plus pratiquée en Europe. Au-delà, le règlement protection des données ne concerne pas que les entreprises européennes, puisqu’il vise également par exemple tout organisme exerçant des activités ou offrant des services sur le territoire européen, et ce, qu’il soit ou non établi dans un pays membre de l’UE. Dans un tel contexte, la langue anglaise s’impose comme une évidence.

Comment, selon vous, cette matière est-elle amenée à évoluer ? Quelle sera l’influence du Big data sur cette réglementation ? 

A l’heure où le développement exponentiel des objets connectés génère des volumes de données sans précédent, le Big data est en passe de devenir le nouvel Eldorado des entreprises. A condition toutefois pour celles-ci d’en respecter les règles du jeu.

Les individus n’ont jamais été autant connectés, et les objets connectés jamais aussi nombreux, générant un flux continu de données démultiplié par l’apparition de nouveaux modes de collecte et de conservation des données via notamment le Cloud.

Une chose est sûre : l’explosion quantitativement phénoménale du Big data qui en résulte ouvre une véritable mine d’or pour tous les acteurs ayant accès d’une manière ou d’une autre aux données ainsi collectées et stockées. Sans compter le recours à de nouveaux outils – au premier rangs desquels les algorithmes prédictifs – par de nouveaux intervenants commercialisant sur le marché des prestations de mise en relation des données ainsi collectées, pour des usages essentiellement marketing.

A l’arrivée, l’avantage compétitif qui en résulte pour les entreprises capables d’exploiter et développer ces données tiendra surtout dans l’anticipation des comportements et besoins futurs des clients.

 GDPR - General Data Protection Regulation: texts, commentaries and practical guidelines

GDPR - General Data Protection Regulation: texts, commentaries and practical guidelines


Alain Bensoussan, Jean-François Henrotte, Marc Gallardo, Sébastien Fanti

Pour plus d'informations et pour commander, cliquez ici.

Publié 06-06-2017

  505