Data :  la CNIL presse les entreprises de se préparer aux futures règles européennes – (lesechos.fr)

La nouvelle régulation, plus dure, entre en vigueur dans un an.
La CNIL alerte sur l’urgence de se préparer à un « changement culturel » d’ampleur.

Le compte à rebours est lancé et les entreprises doivent se presser. A une grosse année de l’entrée en vigueur (mai 2018) du nouveau règlement européen sur le traitement des , c’est le message que va délivrer Isabelle Falque-Pierrotin, présidente de la , ce lundi lors de la présentation de son rapport annuel. « Les entreprises doivent prendre la mesure de la marche à franchir. Les grands groupes ont bien anticipé, beaucoup moins les autres, pas assez préparés », constate la dirigeante également présidente du G29, qui regroupe les CNIL européennes.

Portabilité des données

Adopté mi-2016, le futur règlement doit rendre sa souveraineté numérique à l’Europe. Il unifie le cadre et la régulation du traitement des données personnelles dans l’Union – notamment le traitement transfrontalier – et y soumet aussi les services proposés par des entreprises basées hors du continent.

Les exigences se durcissent. Si les grands principes resteront ceux de la loi informatique et libertés, le règlement renforce les droits des personnes, avec un droit à la portabilité de leurs données. « Elles doivent pouvoir récupérer les données fournies dans un format compréhensible et interopérable », prévient Isabelle Falque-Pierrotin. Le G29 finalise actuellement les données concernées. « Il ne faut pas non plus que par ce biais soit récupérée l’innovation développée par l’entreprise dans le traitement des données. Tout ne peut pas être récupéré par le client et porté à la concurrence », insiste-t-elle. Les entreprises devront aussi donner plus formellement la preuve du consentement préalable quand elles récoltent des données.

La vraie révolution est toutefois « avant tout culturelle », poursuit la CNIL. « On passe d’un système qui repose en grande partie sur les formalités préalables, avec des déclarations et des autorisations, à une logique de responsabilisation et de transparence des entreprises dans le traitement et dans la sous-traitance des données », rappelle sa présidente. C’est le deal du règlement : moins de formalités juridiques contre plus de formalisation interne du traitement, pour faciliter les contrôles. Cela implique un changement d’échelle, avec « la prise en compte de la dès la conception d’un service ou d’un produit » et « une organisation et des outils internes adaptés » (registre des traitements, études d’impact, etc.), souligne la CNIL.

Cela a un coût, mais il s’avérera un bon investissement alors que les consommateurs sont de plus en plus sensibles à la maîtrise de leurs données, arguent la CNIL et Bruxelles. « Il faut sortir d’une approche purement administrative et juridique de la gestion des données et la considérer comme un enjeu stratégique de la vie de l’entreprise, qui sera impactée dans tous ses compartiments », insiste Isabelle Falque-Pierrotin.

Le champ des entreprises concernées est vaste : toutes celles suivant régulièrement et à grande échelle des personnes sont visées par le futur règlement. Un simple fichier clients un peu étoffé peut donc suffire. Conséquence, la CNIL estime qu’en France, 80.000 entreprises publiques ou privées seront tenues d’avoir fin mai 2018 un délégué à la protection des données, contre 17.000 aujourd’hui. Pour les aider, la CNIL propose des outils clefs en main (pack de conformité, référentiels sectoriels). Gare aux retardataires : les sanctions pourront atteindre de 2 à 4 % du chiffre d’affaires annuel mondial.

PartagerShare on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn