RGPD : Quels sont les impacts du nouveau grand défi des entreprises ?

Article paru le 26 avril 2018 | Partager sur les réseaux sociaux

Classé dans : Innovation Assurance RGPD Réglementaire

Après quatre ans d’échanges et de négociations, le Règlement Général sur la Protection des Données (RGPD) a été adopté par le Parlement européen, validé par la commission des libertés civiles, de la justice et des affaires intérieures. Porté par Jan Philipp Albrecht, un eurodéputé franco-allemand, le texte, qui entrera en vigueur à compter du 25 mai 2018, vise à octroyer aux personnes physiques de nouveaux droits sur la disposition de leurs données à caractère personnel.

Qu’est-ce que le RGPD ?

Remplaçant la directive sur la protection des données de 1995, à l’heure où naissait internet et l’ensemble de ses réseaux convergents, le RGPD va aujourd’hui permettre d’obtenir plus de contrôle sur les informations privées, dans un monde globalisé où l’ère est au numérique, à la digitalisation et aux services d’assurance intelligents…

Un spectre d’acteurs important et une gouvernance établie

Les acteurs qui devront mettre en application ce règlement sont l’ensemble des administrations, des entreprises ainsi que des sous-traitants qui sont désormais dans l’obligation de traiter ces données personnelles. Les entreprises sont désormais responsables dès lors que leurs offres de biens ou de services concernent des personnes physiques résidant dans la zone U.E. Cela va permettre de travailler de façon conjointe et sur un front parallèle avec les autorités locales de chaque pays. En France, le règlement, porté par la CNIL vise à traiter toutes les opérations effectuées à l’aide de systèmes d’information automatisés ou de façon manuelle sur la donnée, durant tout son cycle de vie.

Des outils mis à disposition dans l’accompagnement de la conformité et de la conduite du changement

Différents outils de gestion vont être mis en place dans le cadre du règlement afin de concourir à la protection des données et prouver aux autorités locales que les règles sont bien respectées.

Un Data Protector Officer (DPO), responsable des bonnes pratiques pourra être mis en place dans l’organisation. Son rôle sera également de contrôler le respect de la réglementation en vigueur et de réaliser une étude d’impact afin de coopérer, en France, avec la CNIL. Cependant, le poste de DPO ne sera obligatoire que pour certaines organisations comme les autorités ou les organismes publics traitant des informations dites « sensibles », c’est-à-dire toutes les informations d’ordre ethniques, religieuses et pénales.

Le DPO pourra également s’appuyer sur un code de bonne conduite rédigé en fonction du secteur d’activité afin de suivre et d’appliquer la bonne politique de gestion. Enfin, la délivrance d’un label en suivant une procédure certifiée sera gage de confiance quant à la capacité qu’a l’organisation à mettre en œuvre le règlement.

Une mise en conformité obligatoire ?

Les sanctions liées à un non-respect sont une forte incitation à suivre la réglementation européenne même si la mise en place du règlement n’est pas obligatoire. En effet, celles-ci pourront atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires global de l’organisation. En plus des sanctions financières, il existe pour les organisations qui ne respectent pas le règlement un risque important d’atteinte à l’image, qui impacterait fortement leur notoriété.

Le monde de l’assurance impacté

Dans ce cadre, les organismes d’assurance, de mutuelle et prévoyance devront, en parallèle, travailler en amont du règlement afin de respecter certaines caractéristiques qui leurs sont propres. Ainsi ces organisations devront faire face à des enjeux supplémentaires tels que la complexité des systèmes d’information existants, le traitement des données de santé mais également le recours de façon courante aux sociétés externes proposant de la sous-traitance. Enfin, l’émergence de nouveaux modèles technologiques tels que le blockchain, les robo-advisors ou le machine learning, ainsi que les exigences légales et réglementaires comme la loi Sapin II ou la directive sur la distribution des produits d’assurance font que cette réglementation aura un fort impact au niveau des systèmes d’information mais également organisationnel.

Qu’en est-il des SI ?

Les entreprises vont devoir mettre à jour les SI ainsi que leurs stratégies de sécurité actuelles pour réussir à être en conformité dans les temps. Activités malveillantes ou encore manque de sensibilisation, se caractérisant par exemple par le « Shadow IT », sont actuellement au cœur des préoccupations. Le RGPD a beau être une nouvelle exigence européenne, cette réglementation peut être perçue comme une opportunité ainsi qu’une étape décisive et positive dans l’amélioration continue des systèmes d’information et dans l’équilibre de la confidentialité et de la protection des données entre les particuliers et les entreprises. L’enjeu prend également tout son sens dans la réforme des pratiques de gestion des données et la sécurité globale de l’ensemble des structures informatiques en lien avec les problématiques de cyber-sécurité. En effet, tout le monde n’a pas envie de retrouver ses coordonnées bancaires sur internet, non ?

Pierre DEMURGER

Partagez cet article sur les réseaux sociaux