La ressource pour aller plus loin
Data & performances
#RGPD
Le renversement de la charge de la preuve est probablement « la plus grande révolution du RGPD », insiste Maître Sybille Bose-Tarsia. Selon l’ancienne législation, c’était à l’utilisateur de prouver que l’entreprise était allée à l’encontre de la loi. Désormais, c’est à l’entreprise de prouver qu’elle a tout mis en œuvre pour protéger les données personnelles qu’elle exploite. Tout, à commencer par une analyse d’impact pour les organisations utilisatrices des nouvelles technologies, les autres pouvant se contenter d’une déclaration du strict respect des « must » du RGPD.
« Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités de traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel »
Article 35 du RGPD
Et inutile de tenter de passer la patate chaude au sous-traitant en charge du traitement des données : si votre entreprise décide « pourquoi » et « comment » les données à caractère personnel devraient être traitées, alors elle est aux yeux de la loi « le responsable du traitement ». Et à ce titre, elle est juridiquement solidaire de son prestataire en charge du traitement effectif des données collectées ! En Allemagne, les dirigeants de l’entreprise peuvent même être poursuivis personnellement…
Au lieu de 300 000 € maximum auparavant, les amendes peuvent désormais atteindre 10 à 20 millions d’euros, ou 2 à 4% du chiffre d’affaires annuel, selon la nature de l’infraction. Si ce changement est encore peu visible dans les faits (à part les 50 millions d’euros réclamés à Google par la CNIL en début d’année), c’est en partie parce que la plupart des acteurs ont misé sur la coopération avec les autorités, la réactivité lorsque des manquements sont découverts, voire la proactivité en signalant elles-mêmes les anomalies constatées. Mais « la Commission n’a jamais caché que l’objectif de ce texte vise à dissuader fortement les entreprises. Le durcissement ne va donc pas tarder », prévient Maître Boese-Tarsia.
Désormais, le responsable du traitement dispose de 72 heures pour notifier l’autorité compétente (en France, la CNIL) en cas de constat d’une violation des données personnelles. Cela suppose de disposer d’un système informatique extrêmement robuste, mais aussi d’avoir mis en place des procédures d’urgence parfaitement rodées à l’intérieur comme à l’extérieur de l’entreprise. Alors que ne cesse de se développer le cloud computing, qui suppose une externalisation complète de la protection des données personnelles, les contrats ont dû être revus du sol au plafond. N’hésitez pas à relire ceux que vous avez signés !
Avocate inscrite au barreau de Berlin, Sybille Boese-Tarsia commence par exercer en libéral à Berlin et Bruxelles, puis au sein de cabinets d’avocats belges, anglais et italiens. Pendant une vingtaine d’années, elle travaille ensuite dans des directions juridiques d’entreprises aussi bien américaines qu’européennes ou asiatiques.
En parallèle, Sybille Boese-Tarsia publie de très nombreux articles dans la presse spécialisée, participe régulièrement à des conférences d’envergure internationale et organise des formations juridiques sur le droit antitrust et la protection des données personnelles. Elle est certifiée pour exercer en qualité de correspondant informatique et libertés (CIL) ou Data Privacy Officer (DPO) au sein de l’Union européenne.
La ressource pour aller plus loin
Vous avez encore faim d’actus ?
Tous les mois, régalez-vous des dernières nouveautés marketing, directement servies dans votre boîte mail !