GLOBAL DATA PRIVACY REGULATION
Le nouveau règlement européen GDPR (Global Data Privacy Regulation) fixe les règles de protection des données personnelles. Il s’applique à toutes les organisations publiques, privées ou associatives, dans tous les secteurs, dans le monde entier, pour toute donnée personnelle relative à un citoyen de l’Union Européenne.
Le champ de couverture du texte est vaste, puisque l’ensemble des services d’une société sont concernés : qu’il s’agisse des ressources humaines, du département des systèmes d’information, en passant par le marketing ou le développement, le management doit s’assurer que l’intégralité de l’entreprise satisfait à ces nouvelles exigences, applicables à compter du 25 mai 2018.
Le GDPR, qui prévoit des exigences plus strictes que celles en vigueur aujourd’hui, pose également pour principe la capacité permanente de l’entreprise à pouvoir justifier du respect de ces règles, ce qui engendre un lourd travail de documentation pour toutes les sociétés.
Le CEPD (Comité Européen de la Protection des Données) est en charge de l’harmonisation et de la mise en application des règles au niveau européen, dont le correct déploiement est assuré dans chaque Etat membre par les autorités de protections nationales ; la CNIL (Commission Nationale de l’Informatique et des Libertés) en France.
En cas de non-respect, les sanctions peuvent être lourdes : les autorités nationales de protection des données peuvent infliger aux entreprises des amendes dont le plafond maximal est fixé à 4% du chiffre d’affaires mondial ou à 20 millions d’euros (montant le plus élevé), si elles ne se sont pas mises en conformité.
Les principales exigences introduites par le règlement sont les suivantes :
- Le concept de privacy by design : introduction de la notion de protection des données dès la conception d’une procédure / d’un outil
- Le consentement explicite et révocable : consentement de la personne qui a au préalable connaissance de la finalité et de la nature des traitements de données – autorisation révocable
- La fuite des données : obligation d’analyser et de signaler toute fuite ou perte de données personnelles dans les 72h
- Le droit à l’oubli : droit de la personne de demander un effacement des données préalablement transmises
Ces principes vont substantiellement impacter voire modifier de nombreux processus au sein des entreprises (ressources humaines, juridiques / conformité règlementaire, de la direction des systèmes d’information,…).
Compte tenu de l’ampleur de la tâche et des risques associés, il est crucial que chaque société démarre dès aujourd’hui son projet de mise en conformité.
L’enjeu est encore plus fort pour les organismes d’assurance et les courtiers en raison de la nature des données personnelles ou sensibles qu’ils sont amenés à traiter (informations personnelles confidentielles, données de santé, immatriculations, données de paiement,…).
De par leur position privilégiée, les courtiers vont se retrouver au coeur du nouveau dispositif :
- Une mise en conformité imposée par les exigences règlementaires à la fois sur leurs organisations et leurs clients
- Le respect de procédures répondant aux normes de leurs partenaires assureurs, eux-mêmes soumis à la règlementation
Fort heureusement, une gestion agile et pragmatique de ce projet permet de répondre à ces nouvelles exigences et d’en tirer le meilleur parti. La réussite d’un tel projet repose sur une gouvernance transverse impliquée avec une attention particulière accordée à la conduite du changement : une transformation nécessaire de la culture d’entreprise, mais aussi de la relation client. Ce type de projet est surtout l’occasion d’identifier de nouveaux leviers de performance de son entreprise et de renforcer sa compétitivité sur le marché.
Face aux enjeux structurels de la règlementation, une démarche agile, outillée et personnalisable permet en quelques semaines de structurer le Programme GDPR !
L’équipe Advisory de Mazars a développé une méthodologie et des outils pour accompagner ses clients et les aider à sécuriser leur projet de mise en conformité GDPR: du diagnostic initial à la l’exécution des plans d’actions.
Pour plus d’informations, veuillez contacter :
Nicolas Dusson, Associé
nicolas.Dusson@mazars.fr
Otmane El Hidaoui, Senior Manager
+33 (0)6 65 94 31 43, otmane.el-hidaoui@mazars.fr
Jean Vidal, Senior Manager
+33 (0)6 59 09 43 62 – jean.vidal@mazars.fr