Le règlement général sur la protection des données personnelles (RGDP) entrera en vigueur le 25 mai 2018. Il est temps de s’y préparer avec méthode et efficacité. Trois questions essentielles que chaque entreprise doit se poser et les réponses pour agir.

Le RGDP et la protection des données, quels sont les principaux enjeux pour votre entreprise ? Et clients ?

Si la France avait longtemps fait figure de « premier de la classe » en qualité de précurseur sur la question des données personnelles, dès 1978, désormais, les entreprises doivent s’adapter aux nouvelles règles issues du RGPD, applicables en mai 2018.

Vos données personnelles, principalement des fichiers clients, doivent désormais faire l’objet de la plus grande attention et leur utilisation répondre aux exigences des autorités. Leur gestion peut être organisée en interne par un service dédié.

Autre solution, confier la gestion de vos données personnelles à un avocat qui remplira cette mission avec indépendance selon les critères retenus par le RGPD. 

Il faut pour cela choisir le bon profil, car le délégué à la protection des données (DPO) désigné à cet effet est force de conseil et d’assistance dans toutes activités de l’entreprise dès lors qu’elles touchent aux données personnelles.

A titre d’exemple, chaque nouveau projet doit intégrer en amont une réflexion et si nécessaire un mode opératoire intégrant la protection des données personnelles ; le DPO doit avoir la science suffisante pour accompagner les équipes dédiées.

Quelles sont les priorités avant la fin de l'année ? en 2018 ?

Vous devez, en priorité mettre en place un dispositif d’alerte professionnelle interne (lanceurs d’alerte) applicable au 1er janvier 2018, conforme aux règles énoncées par la CNIL mais encore désigner en amont un DPO (délégué à la protection des données, ex-CIL, né du RGPD), avant mai 2018, outre, le cas échéant, initier une approche en matière de sécurité des informations non divulguées (secret des affaires) pour juin 2018

Les implémentations de ces nouvelles réglementations successives doivent donc être savamment coordonnées et anticipées, dans la mesure où elles seront incontournables (notamment en regard des amendes susceptibles d’être prononcées) et constituent pour l’avenir un socle fondamental concernant la gestion de toutes données de l’entreprise. 

Le dernier trimestre de l’année 2017 doit permettre d’envisager sereinement cette évolution digitale significative.

Quels conseils pour mettre en place une task force dans votre entreprise, quelle que soit sa taille ?

Il convient de désigner les bons interlocuteurs internes et externes. A l’approche des prochaines échéances (RGPD, Sapin 2, …) de nombreux métiers au sein de l’entreprise seront directement ou indirectement impactés. 

Il faut dès lors rationaliser les actions opérationnelles et fonctionnelles pour éviter de vivre ces nouvelles obligations comme une contrainte, mais davantage comme un vecteur de développement en tant qu’avantage concurrentiel.

De fait, plusieurs choix sont à faire en ce sens et, au lieu de disperser les missions, il importe de privilégier une approche globale et convergente de nature juridique, technologique et s’assurer de la mise en place d’un service ou d’une personne dédié (e) aux informations et alertes professionnelles internes, qui puisse éventuellement tout à la fois être, le cas échéant, DPO, référent de premier rang de la Loi Sapin 2, délégué à la protection des données sensibles …  

Cela se traduit in fine par l’émergence d’un nouveau métier tel que « délégué à la sûreté et à la conformité des données ».

Olivier de Maison Rouge, Avocat