Focus sur le Règlement Général sur la Protection des Données (RGPD) applicable le 25 mai 2018

Le Règlement général sur la protection des données (RGPD) (en anglais : General Data Protection Regulation, GDPR) constitue le nouveau texte de référence européen en matière de protection des données à caractère personnel. Il sera applicable au 25 mai 2018.

Analyse Publiée dans EdenMag – Revue de référence dans le secteur de l’énergie

La conformité des traitements de données personnelles est un enjeu de plus en plus prégnant dans nos sociétés où la data et le profilage des individus sont un levier de croissance pour de nombreuses entreprises. Le secteur de l’énergie est évidemment concerné par ce phénomène notamment avec le développement du Smartgrid qui implique un traitement de plus en plus approfondi des données de consommation des utilisateurs. La CNIL s’est d’ailleurs récemment montrée particulièrement attentive sur plusieurs projets dans ce domaine en affinant sa doctrine.

Avec l’entrée en application du RGPD, le 25 mai 2018, le cadre juridique applicable aux entreprises évolue.

Il est basé sur le principe d’accountabily, c’est-à-dire d’engagement responsable des acteurs et de privacy by design, c’est-à-dire de prise en compte de la réglementation, dès la conception des produits ou des services.

Rappelons que la loi Informatique et Libertés prévoit d’ores et déjà des sanctions pénales (amendes et emprisonnement) pour sa violation. Les sanctions prévues par le Règlement sont manifestement alourdies, puisqu’elles peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial, ce qui est colossal. Surtout, la violation du RGPD ouvre droit à réparation devant les tribunaux judiciaires en vertu de l’article 82, ce qui pourrait accroître significativement les contentieux dans un contexte global d’explosion de la cybercriminalité.

La conformité RGPD est donc un enjeu primordial pour toutes les entreprises qui traitent des données personnelles car les risques juridiques sont sérieux avec des risques de sanctions et de condamnations lourdes.

Au-delà , la conformité CNIL/RGPD est aussi devenue un marqueur différenciant pour l’entreprise. Elle est un gage de crédibilité d’éthique et de responsabilité pour l’organisation vis-à-vis de ses clients, consommateurs et partenaires.

Dans la mise en place des solutions traitant des données de consommateurs, les entreprises du secteur de l’énergie devront être vigilantes notamment aux évolutions suivantes :

• Renforcement du droit des personnes avec une obligation d’information renforcée du consommateur, l’avènement du droit à l’oubli et le droit à la portabilité des données. Dans ce dernier cas, la personne doit pouvoir récupérer les données qu’elle a fournies sous une forme aisément réutilisable pour les transmettre à un tiers.
• Obligation de notification des violations de données à l’autorité de protection des données la violation dans les 72 heures. L’information des personnes concernées est requise si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne ;
• La fin des formalités obligatoires déclaratives pour les traitements les plus simples substituées par la mise en place d’un registre de traitements
• Le Correspondant Informatique et liberté qui deviendra le Data Protection Officer devra être obligatoirement désigné au sein des organisations dès lors que les activités de l’entreprise les amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ce qui est le cas pour un grand nombre de sociétés du secteur de l’énergie.

La conformité suppose d’adopter de nouvelles pratiques. Il est préconisé d’avoir une vigilance accrue envers les sous-traitants qui doivent eux même s’astreindre à respecter la réglementation qui leur est désormais applicable au même titre que les responsables de traitement. Les contrats doivent prévoir des clauses strictes ainsi que des possibilités d’audit. La mise en place de chartes de gouvernances et de codes de conduite est préconisée, ainsi que des études d’impacts réguliers des traitements.

En effet, en cas de contrôle l’entreprise devra être capable de démontrer qu’elle a mis en place les moyens techniques et organisationnels nécessaires pour assurer sa conformité.

Plus que jamais la mise en place d’une équipe pluridisciplinaire dédiée à ces problématiques au sein des organisations apparaît indispensable. Idéalement celle-ci doit être chapeautée par le Data Protection Officer accompagné de juristes spécialisés et d’informaticiens.

Le recours à un cabinet d’avocats alliant des compétences techniques et juridiques spécialisées offre une vision objective et opérationnelle précieuse pour assurer sa conformité.

Le Cabinet Touati-La Motte Rouge Avocats est classé parmi les meilleurs cabinets français en droit de l’informatique et de la protection des données personnelles (voir expertise) Son équipe pluridisciplinaire composée d’avocats et d’ingénieur intervenant tant en conseil qu’en contentieux assure une excellente expertise.