fil-educavox-color1

Nombreux étaient les participants à la 5 ème édition des Matinales de la Recherche de Toulouse Business School, concernés par la nouvelle législation européenne sur la protection des données. Applicable à toutes les entreprises dont les activités ciblent le territoire européen, le règlement général pour la protection des données personnelles (RGPD) entrera en vigueur à partir du 25 mai 2018. 

Son objectif est de protéger les citoyens européens contre une utilisation malveillante de leurs données à caractère personnel. Gregory Voss, Juris Doctor et enseignant-chercheur à TBS et Maître Stanley Claisse, avocat spécialiste en droit de la propriété intellectuelle, droit de l'informatique et des télécommunications, ont fait le point sur cette nouvelle réglementation : plus uniforme, plus responsabilisant, plus vertueuse.

Une évolution réglementaire nécessaire

Big Data, stockage biométrique... De nombreuses évolutions technologiques sont intervenues depuis la directive européenne de 1995 qui régit actuellement la protection des données en Europe.

La législation n'est plus adaptée mais surtout elle présente d'importantes disparités entre les états membres qui ont transposé la directive avec des différences. L'harmonisation de la réglementation constitue donc un objectif de la réforme. Autre ambition du nouveau règlement : alléger le fardeau administratif et le coût engendrés par les formalités de déclaration préalable dont doit s'acquitter toute entreprise traitant des données personnelles. Enfin, si le niveau de protection des données personnelles en Europe est globalement satisfaisant, les sanctions financières prévues par la directive à l'encontre de contrevenants demeuraient très faibles dans certains états, comme la France.

C'est dans ce contexte et à l'issue d'un long processus que l'Union européenne a adopté le nouveau règlement général pour la protection des données personnelles (RGPD). Il sera applicable à partir du 25 mai 2018. Une étape pour l'établissement du marché numérique européen Le choix de légiférer via la forme du règlement n'est pas anodin. A la différence de la directive, les règlements européens ne nécessitent pas de transposition dans les Etats membres. Le règlement européen général pour la protection des données personnelles permet donc une harmonisation quasi-parfaite de la législation dans les 28 Etats membres. Son champ d'application concerne toutes les entreprises, quelle que soit leur taille qu'elles aient, ou non, leur siège dans l'Union européenne. Ainsi, les entreprises transnationales dont les activités ciblent le territoire européen tombent désormais sous le coup de la réforme.

" On parle d'effet extraterritorial du nouveau règlement européen. Il inclut les cas classiques d'entreprises qui traitent des données à caractère personnel dans l'union européenne ou y ayant un siège social, mais aussi les entreprises hors de ce territoire dont les activités ciblent les personnes sur le territoire de l'union européenne. Qu'il s'agisse de la fourniture de produits et de services ou du suivi du comportement dans l'union européenne qui visent ces personnes. "

Grégory Voss, Juris Doctor et enseignant-chercheur à TBS

Une réglementation responsabilisante pour les entreprises

La philosophie du nouveau règlement général pour la protection des données personnelles est résolument tournée vers la responsabilisation des entreprises.

Cette volonté se traduit, d'une part, par l'obligation faite aux entreprises de démontrer à tout moment qu'elles sont en conformité avec la législation. Cette obligation va engendrer une modification dans la gouvernance des entreprises qui devront recruter des profils adaptés. Ces « délégués à la protection des données à caractère personnel » auront pour mission de cartographier les traitements de données personnelles mis en œuvrepar l'entreprise et d'assurer leur conformité à la réglementation. On estime à 75 000 postes le gisement mondial d'emplois dans ce domaine.

L'objectif de responsabilisation des entreprises s'exprime, d'autre part, à travers l'obligation, pour toutes les entreprises, et pas seulement les fournisseurs de services de communications électroniques,de déclarer, aux personnes ciblées par le traitement des données, toute attaque ou piratage subis par leur base de données. Sauf exception prévue dans le règlement, elles doivent informer les personnes physiques de la potentielle corruption de leurs données personnelles, dès lors que la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés. Cette obligation d'information exposera l'entreprise, de façon prévisible, à la multiplication des actions collectives ou des demandes de réparation de préjudice.

En cas de manquement à ses obligations, l'entreprise s'expose à de lourdes sanctions financières, lesquelles ont été considérablement renforcées puisqu'elles peuvent atteindre 4% de leur chiffre d'affaires mondial pour certaines violations dans le cas d'une entreprise. Plus responsabilisant, ce dispositif se substitue à la déclaration préalable que doit aujourd'hui effectuer toute entreprise traitant des informations à caractère personnel.

Vers une amélioration du niveau de sécurité global des entreprises

Si l'objectif de cette nouvelle réglementation est, au premier chef, de minimiser les risques de violations des données personnelles et les préjudices subséquents, son effet sera bénéfique sur le niveau de sécurité des entreprises.

Pour protéger les données personnelles qu'elles traitent, les entreprises devront mettre en place des outils de sécurité informatique, de chiffrement, de contrôle d'accès... Si elles ont recours à des sous-traitants, elles devront s'assurer qu'ils sont en conformité avec leurs exigences de sécurité. Ces obligations renforcées devraient contribuer à l'amélioration globale du niveau de sécurité des systèmes d'information et avoir un effet préventif sur la cybercriminalité.

En revanche, cette amélioration ne sera pas immédiate dans toutes les entreprises :

" Si les grandes entreprises se sont préparées à ce changement réglementaire, les petites et moyennes entreprises vont mettre plus de temps à s'adapter. Espérer qu'elles seront en conformité dans les 6 mois est largement illusoire. Ce sera un travail de longue haleine qui de plus nécessitera de la régularité dans la vérification de la conformité des données. " Stanley Claisse, avocat au barreau de Toulouse, spécialiste en droit de la propriété intellectuelle, droit de l'informatique et des télécommunications.

Gregory Voss est Juris Doctor et enseignant-chercheur à Toulouse Business School. Ses recherches portent essentiellement sur la question de la protection des données personnelles et le droit de l'internet. Il a publié de très nombreux articles et ouvrages sur ce thème.

Son article « Internal Compliance Mechanisms for Firms in the EU General Data Protection Regulation » vient d'être publié dans la Revue juridique Thémis de l'Université de Montréal et beaucoup de ses articles de recherche sont accessibles depuis:

http://ssrn.com/author=1740804 et http://tbseducation.academia.edu/WGregoryVoss

Maitre Stanley Claisse est avocat inscrit au barreau de Toulouse, conférencier et formateur. Il est spécialisé en droit de la propriété intellectuelle, droit de l'informatique et des télécommunications. Il est également ingénieur en informatique.

 

A propos de Toulouse Business School

Fondée en 1903 par la Chambre de Commerce et d'Industrie de Toulouse, Toulouse Business School dispose de cinq campus : Toulouse, Barcelone, Casablanca, Paris et Londres.

TBS propose un ensemble complet de formations initiales : Bachelor in Management, Programme Grande Ecole  (Master in Management), Masters of Science (MSc), Mastères Spécialisés®, Summer Programme et de formations continues : Bachelor in Management en Formation Continue, Executive Master in Management, Mastères Spécialisés®, MBA (Aerospace MBA, Executive MBA), DBA (Doctorate of Business Administration), programmes pour cadres et dirigeants (Métier : DIRIGEANT, Outils de pilotage de l'entreprise, CPA), programmes sur-mesure. Les formations sont essentiellement axées sur la finance, la stratégie, le marketing, l'expertise comptable, le conseil, l'audit, les RH, mais aussi sur le domaine culturel, l'humanitaire, l'entrepreneuriat...

 

Dernière modification le mercredi, 28 février 2018
An@é

L’association An@é, fondée en 1996, à l’initiative de la création d’Educavox en 2010, en assure de manière bénévole la veille et la ligne éditoriale, publie articles et reportages, crée des événements, valorise les innovations, alimente des débats avec les différents acteurs de l’éducation sur l’évolution des pratiques éducatives, sociales et culturelles à l’ère du numérique. Educavox est un média contributif. Nous contacter.