Protection des données : comment le RGPD campe la pleine responsabilité des entreprises ?

Nathalie Devillier, professeure de droit, à Grenoble Ecole de Management

Publié le

17 Avril 2018

Le RGPD, pour Règlement général sur la protection des données, est un texte de droit européen référent pour la protection des données à caractère personnel. Son ambition ? Protéger la vie privée des internautes européens. De fait, ses répercussions sont très fortes sur les obligations des entreprises. Comment ces dernières doivent-elles préparer l’échéance de 25 mai prochain ?

Ce règlement (ou GDPR pour General data protection regulation), en vigueur depuis avril 2016, sera applicable à partir du 25 mai 2018. Son ambition est triple : renforcer les droit des citoyens, majeurs et mineurs, en vue du contrôle de leurs données personnelles ; responsabiliser les acteurs des data – entreprises et intermédiaires ; et accroître le contrôle et l’application de sanctions en Europe.

Les entreprises doivent « renseigner » leur conformité

Les entreprises ont donc l’obligation de rendre des comptes sur la manière dont elles respectent le RGPD.
« Les entreprises ont aujourd’hui la charge de garantir et de prouver que le traitement des données est conforme et sécurisé à tout moment, souligne Nathalie Devillier, professeure de droit, à Grenoble Ecole de Management. Et, fait nouveau, cette responsabilité est élargie à l’ensemble des prestataires sous-traitants de l’entreprise. » En d’autres termes, chaque entreprise (et ses prestataires), doit être en capacité de « renseigner » son process de mise en conformité, en transparence, et justifier de la mise en place de bonnes pratiques pour la collecte, le stockage, l’utilisation, le partage ou la destruction des données personnelles.

Les entreprises ont aujourd’hui la charge de garantir et de prouver que le traitement des données est conforme et sécurisé à tout moment

Les 7 recommandations clés de Nathalie Devillier

1 – Cartographier toutes ses données et auditer tous les sous-traitants

L’entreprise et ses partenaires sous-traitants sont conjointement responsables du traitement et de l’élaboration d’un système de protection des données personnelles. Cela nécessite donc, pour l’entreprise, de cartographier toutes les données et d’identifier tous ses partenaires co-responsables.

2 – Former le délégué à la protection des données – Data protection officer (DPO), en remplacement du CIL (Correspondant informatique et libertés)

Le RGPD encourage les entreprises à se doter d’un DPO, le rendant obligatoire pour les organismes publics, les organismes manipulant des données « à grande échelle », et les organismes qui manipulent des données sensibles (santé, ou relatives à des condamnations pénales ou infractions…). Le DPO a la charge de piloter la mise en conformité de l’organisation au regard du RGPD. Il s’assure du respect des obligations juridiques et coopère avec la CNIL.

3 – Tenir un registre des activités de traitement auprès de la CNIL

Le document est disponible gratuitement.

4 – Réaliser une étude d’impact

Pour accompagner les entreprises, la CNIL a publié une nouvelle version du logiciel d’étude d’impact sur la vie privée (PIA), ainsi qu’une étude de cas dans le contexte des objets connectés (moniteur de sommeil).

5 – Assurer une totale transparente sur la collecte des données

Traceurs (cookies), conditions générales de vente (où peu d’entreprises sont en conformité actuellement), droit d’accès aux données, droit à l’effacement, droit à la portabilité des données, et « profilage » (soit, la collecte massive des données personnelles récoltées sur Twitter, Facebook, Amazon…), les entreprises se doivent d’être transparentes sur la collecte, la destination et le format sécurisé des transferts de données.

6 – Alerter la CNIL en cas de violation avérée de la vie privée

Dans un tel cas, l’entreprise victime d’une faille ou une cyberattaque doit prévenir la CNIL en moins de trois jours et les personnes concernées si cette violation de sécurité engendre un risque élevé pour leurs droits et libertés. Il en est de même pour les données concernant les clients de l’entreprise. En prévention de toute violation, il est recommandé de s’adresser à l’ANSSI – autorité nationale de sécurité et de défense des systèmes d’information.

7 – En cas de transfert des données vers des serveurs aux USA : vérifier que le prestataire a déclaré sa conformité avec le « Privacy Shield »

Il suffit de consulter le site officiel du gouvernement américain et le contrôler que son statut est bien actif :

Pour en savoir plus

Le droit à l'effacement : ce que Google oublie de vous dire dans son rapport de transparence

Grenoble Ecole de Management a nommé son Data Privacy Officer

Cela pourrait vous intéresser

Publié le 21 Février 2023
Retour sur le Jeudi CDOS : Risques d'ingérences cyber

Dans le cadre des « Jeudis CDOS, les rdv du numérique » la chaire Digital Organizations and Society de Grenoble Ecole de Management a organisé une conférence sur le thème "Risques d'ingérences cyber".
Publié le 14 Septembre 2020
Vers des notations financières responsables et durables ?

Les notations de crédit ont un impact déterminant sur les marchés financiers et les choix d’investissement. Comment les facteurs ESG peuvent-ils être intégrés dans l’évaluation des opportunités d’investissement ?
Publié le 20 Avril 2020
Cybersécurité : prévenir plutôt que guérir !

La cybersécurité ne peut se réduire aux événements informatiques – ransomware, virus, etc. Dans l’entreprise, comme en télétravail, le principal moyen de vigilance repose sur le facteur humain, et tient en un mot : la prévention.
Publié le 20 Janvier 2020
Fast fashion : la mort annoncée ?

Le modèle économique low-cost, porté par quelques mastodontes du prêt-à-porter, s’essouffle-t-il au profit d’une mode plus « durable » ?
Publié le 21 Décembre 2018
Prélèvement à la source : dernière ligne droite pour les entreprises

L’entrée en vigueur du prélèvement à la source de l'impôt sur le revenu est fixée au 1er janvier 2019. Quels sont les recommandations et les derniers ajustements à réaliser, du côté des entreprises comme des salariés ?
Publié le 11 Juin 2018
Vidéo : Blockchain et santé, un couple inarrêtable ?

La technologie de la chaîne des blocs (blockchain) pourrait demain agréger les données de santé des patients au sein d'un système décentralisé et infalsifiable. Mais comme l'explique Nathalie Devillier, professeur associée en droit du numérique à...
Publié le 06 Février 2018
Internationalisation et numérique: nouvelle gouvernance chez Sodexo

Dix ans après son entrée dans le Groupe Sodexo, Denis Machuel, antérieurement directeur digital, prend les fonctions de directeur général pour poursuivre le chantier de la transformation numérique de la société familiale. L’assemblée générale des...
Publié le 25 Janvier 2018
Cybersurveillance : Quels droits et obligations pour l’employeur (et réciproquement) ?

La Cour européenne des droits de l’homme impose des limites au contrôle des communications électroniques par l’employeur, qui reste régi par chaque Etat membre.
Publié le 21 Février 2017
Nomination : Jean-Michel Do Carmo Silva élu nouveau président de l'AFD&M

A l’occasion du conseil d’administration du 27 janvier 2017, Jean-Michel do Carmo Silva a été élu président de l’AFD...
Publié le 09 Janvier 2017
Bosses Without Power: the Efficiency of Democratic Company Governance

A worker cooperative where employees poke fun at their bosses? A look at highly democratic governance structure.
Publié le 09 Janvier 2017
Les chefs sans pouvoir : condition d’efficacité d’une organisation ?

Les leviers d’une gouvernance démocratique efficace expliqués par S. Jaumier, chercheur à Grenoble Ecole de Management, qui a conduit son étude en s'immergeant dans une SCOP.