Se préparer à l'impact du GDPR

Se préparer à l'impact du GDPR

Après quatre années de négociations et suite à l'accord décisif obtenu fin 2015 par la Présidence luxembourgeoise de l'UE, le nouveau Règlement général sur la protection des données (GDPR) a été adopté définitivement par le Parlement européen le 14 avril dernier. Les dispositions du nouveau Règlement, dont l'objectif est de "redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises", seront directement applicables dans l'ensemble des États membres de l'Union Européenne à compter du 25 mai 2018. Tine A. Larsen, Présidente de la Commission nationale pour la protection des données (CNPD) nous livre son analyse quant à l'impact du GDPR sur les entreprises et fait le point sur l'état, au Luxembourg, de la protection des individus à l'égard du traitement des données à caractère personnel.

Quelles sont les missions dévolues à la CNPD?

"Les missions actuelles de la CNPD consistent, notamment, à contrôler et vérifier la légalité de la collecte et de l'utilisation des données soumises à un traitement. La Commission nationale examine également les traitements soumis à autorisation pour en assurer la transparence."

"La CNPD est en outre chargée de veiller au respect des libertés et droits fondamentaux des personnes, notamment leur vie privée et leurs données à caractère personnel, ainsi que d'informer le public sur ses droits et sur les risques potentiels. La Commission est habilitée à recevoir et examiner les plaintes et les demandes de vérification de la légalité des traitements de données. Sa mission s’étend à assurer le respect de la vie privée dans le secteur des communications électroniques. Enfin, un dernier volet consiste à conseiller le Gouvernement en la matière."

Quel rôle la CNPD sera-t-elle appelée à jouer dans le contexte du nouveau Règlement européen sur la protection des données ?

"Le nouveau Règlement européen renforce le rôle de supervision de la CNPD et privilégie le contrôle a posteriori plutôt qu’a priori. Il permet aussi à la CNPD d’infliger des amendes administratives qui se doivent d’être effectives, proportionnées et dissuasives."

"La Commission nationale sera également amenée à coopérer plus étroitement avec les autres autorités de contrôle européennes grâce, notamment, aux mécanismes de One Stop Shop et de contrôle de la cohérence. Pour coordonner les interventions entre ces différentes autorités et pour éviter les divergences d’application au sein de l’UE, le Règlement prévoit la création d'un Comité européen de la protection des données dans lequel siègera un membre de la CNPD."

"Durant la phase de transition vers ce nouveau règlement, la CNPD s’appliquera à communiquer des lignes directrices pour faciliter le travail de mise en conformité des responsables de traitement et de leurs sous-traitants."

Quels en seront les bénéfices pour les citoyens et les consommateurs ?

"Ce nouveau règlement met très clairement la protection des citoyens et des consommateurs au centre des préoccupations de l’ensemble des acteurs intervenant dans le domaine de la protection des données. Il introduit ainsi une obligation de transparence qui oblige les entreprises à utiliser un langage facilement compréhensible et aisément accessible dans toutes les formes de communication avec les individus."

"Les modalités de mise en œuvre du consentement des individus sont aussi clarifiées, particulièrement celui des enfants et des adolescents. Les individus bénéficient en outre de nouveaux droits, comme les droits à l’effacement (droit à l’oubli, ndlr) et à la portabilité, qui leur permettent de mieux contrôler l’usage qui est fait de leurs données personnelles."

"Pour exercer leurs nouveaux droits, les individus sont invités à contacter l’autorité de contrôle située dans le pays de leur domicile ou de leur lieu de travail. Au Luxembourg, c'est la CNPD qui est investie de cette autorité."

A quelles conséquences les entreprises doivent-elles s'attendre, aussi bien en termes de contraintes que d'opportunités ?

"Tout d’abord, le Règlement européen n’affecte pas uniquement les entreprises mais aussi l’ensemble de leur chaîne de sous-traitance liée aux traitements des données personnelles. De manière générale, on assistera à une nette réduction des contraintes déclaratives auprès de la CNPD. Le corollaire de cet allègement drastique est une forte responsabilisation des entreprises tout en leur offrant une plus grande liberté dans la conception de leur politique de gestion des données personnelles. A tout moment, elles devront être capables de démontrer la pertinence et l’adéquation des mesures techniques et organisationnelles mises en œuvre pour garantir le respect des nouvelles obligations introduites par ce règlement, comme la protection des données dès la conception et la protection des données par défaut."

D'année en année, la CNPD est de plus en plus sollicitée dans le cadre de demandes de renseignements, d’autorisations préalables, de vérifications, mais aussi de plaintes émanant de citoyens luxembourgeois et européens. La tendance se confirme-t-elle ?

"Les demandes d’autorisation et d’information continuent en effet à augmenter chaque année. A titre d’exemple, si la CNPD avait reçu près de 700 demandes d’autorisation en 2012, elle en a reçu plus de 1100 en 2015. De même, les plaintes et demandes de vérification introduites auprès de la Commission nationale augmentent de façon constante. Ceci est dû au fait que la CNPD reçoit de plus en plus de plaintes transfrontalières, étant donné que le Luxembourg abrite de nombreux sièges d’entreprises multinationales qui traitent les données de tous les clients européens au Grand-Duché. Dès l’entrée en vigueur de la réforme en 2018, cette tendance risque de s’accroître en raison de la facilité pour le citoyen européen d’adresser une plainte contre ce type d'entreprise auprès de son autorité nationale de protection des données qui transmettra cette plainte à la CNPD et ce, dans des délais très brefs."

Existe-t-il, au Luxembourg, une véritable culture de la protection des données ?

"Nous observons que tant les citoyens que les entreprises font preuve d’une prise de conscience et d’une auto-responsabilisation accrue en matière de protection des données. L’augmentation constante des demandes d’autorisation, des demandes de renseignement et des plaintes prouve bien que le grand public s’approprie ses droits."

Comment renforcer cette appropriation? Quelles actions ont-elles été mises en place jusqu'à présent ?

"La CNPD soutient cette prise de conscience. A ce titre, nous avons lancé plusieurs campagnes d’information et de sensibilisation et nous participons régulièrement à des conférences et à des évènements, tel que Hack4Kids ou encore les Information Security Days. Nous collaborons également avec des organismes comme Bee-Secure, l’Université du Luxembourg ou encore la Chambre des Salariés. Finalement, la CNPD organisera une conférence et des séances d’information, en octobre et novembre 2016, afin de sensibiliser le public et les entreprises aux changements qu’apportera la réforme."

De manière générale, comment trouver le juste équilibre entre sécurité, confidentialité et opérabilité ?

"L’entreprise doit impérativement mettre en œuvre une gouvernance de la protection des données avec un engagement formel de sa direction, qui en définit les objectifs. L’ensemble du personnel se doit d’être concerné par le sujet, formé sur la matière et avoir des objectifs de résultat sur ces questions. Dans le cadre du développement de projets en relation avec des traitements de données à caractère personnel, l’ensemble des acteurs impliqués - chefs de projets, développeurs, sécurité IT, juristes, responsables de produits ou encore marketing - devront se concerter pour trouver des solutions adaptées qui tiennent compte à la fois de la sécurité, de la protection des données et du maintien des objectifs business."

"Garder en permanence à l’esprit ces trois critères, sans en omettre aucun, permettra de trouver les solutions menant à un juste équilibre, en sachant que les contraintes de coût ou d’opérabilité ne dédouanent pas les entreprises de leurs obligations. Je suis convaincue qu'une politique de protection des données sensée, cohérente et vécue peut conférer un avantage concurrentiel aux entreprises."