La protection des données: une nouvelle donne! / Analyse

Le règlement général sur la protection des données (General Data Protection Regulation, GDPR) entrera en vigueur le 25 mai 2018.

Il doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique.

Le texte répond à trois objectifs: consolider les droits des personnes, renforcer les pouvoirs des autorités européennes (au Luxembourg, il s’agit de la CNPD) et responsabiliser les entreprises qui traitent des données à caractère personnel. L’accountability est le principe fondamental du règlement. Il consiste en une responsabilisation accrue des entreprises qui doivent être en mesure de démontrer à tout moment qu’elles traitent des données personnelles conformément aux obligations que leur impose le GDPR.

Si ces nouvelles dispositions contribuent à créer le climat de confiance nécessaire au développement de l’économie numérique, elles entraînent également une charge administrative, financière et humaine supplémentaire pour les entreprises – notamment les plus petites – qui devront s’y conformer et nécessitent la mobilisation de différents acteurs au sein de l’entreprise: direction juridique et des ressources humaines, systèmes d’information, etc. qui vont devoir collaborer sur plusieurs chantiers transverses tant au niveau organisationnel, informatique et juridique qu’au niveau des processus opérationnels.

En cas de manquement aux obligations issues du GDPR, les autorités de contrôle nationales pourront infliger des sanctions financières très lourdes pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial tout en laissant aux Etats membres la possibilité de mettre en place d’autres sanctions.

Si le GDPR peut être perçu comme une contrainte par les entreprises, il n’en constitue pas moins une opportunité pour elles de se doter de moyens adéquats pour véhiculer l’image positive d’un environnement où le risque, la confidentialité et la sécurité sont pris en compte. Il appartient aux entreprises de poursuivre, sinon d’entamer sans plus tarder, les travaux nécessaires à la mise en conformité au GDPR et aux nouvelles obligations imposés aux entreprises.

A cet égard, les experts de la House of Entrepreneurship de la Chambre de Commerce se tiennent à leur disposition pour leur apporter conseils et expertise.

J’invite les entreprises intéressées à consulter notre nouvelle publication Le règlement général sur la protection des données: Qui, quoi, comment? qui synthétise les aspects pratiques du GDPR (cf. www.cc.lu, rubrique «Actualités»).

Carlo Thelen,

Chambre de Commerce