Un an après l'entrée en vigueur du RGPD, son véritable impact n'est pas suffisamment mesuré par les entreprises, selon les avocats du cabinet international Hogan Lovells.
Un an après l'applicabilité du Règlement Général sur la Protection des Données Personnelles ('RGPD') - d'après les analyses de l'équipe Privacy and Cybersecurity de Hogan Lovells - ses effets projetés tardent encore à être mesuré par les entreprises. A ce jour, la France et l'Allemagne ont appliqué d'importantes sanctions sur le fondement du RGPD, mais d'autres autorités de protection sont plus mesurées ou ont choisi une approche pédagogique. Seule une partie des acteurs économiques ont décidé de mettre en place les efforts importants rendus nécessaires par la mise en conformité RGPD, tandis que nombre d'entreprises ont adopté une approche de « statu quo » au regard de la mise en conformité.
« L'économie numérique ne cesse d'évoluer. Respecter les obligations du Règlement est un engagement permanent. Il n'est pas possible de prétendre que cette tâche est entièrement achevée et ne plus s'en préoccuper. Une fois qu'elles ont mis en place des programmes pour respecter le RGPD, les entreprises doivent sans cesse s'assurer qu'ils sont suivis et se tenir à jour des dernières évolutions réglementaires. Il est certain que se conformer à tout moment aux règles du RGPD, ainsi qu'à tous les textes impactant les données, est un processus complexe . Néanmoins, rester vigilant et fixer les priorités sur les vraies zones de risque, et poursuivre les efforts déjà entrepris doit permettre à toute entreprise d'atteindre un niveau de protection des données satisfaisant » a commenté Patrice Navarro, Counsel en Privacy à Paris.
Parmi les mesures essentielles à instaurer dans les prochains mois, selon le cabinet international :
- Collaborer avec les régulateurs : l'un des éléments les plus importants du RGPD du point de vue de la conformité est sa mise en pratique transfrontalière uniforme. Le système de guichet unique, qui donne à un seul régulateur la pleine autorité pour contrôler les activités paneuropéennes de traitement des données d’une organisation, est au cœur de cette évolution. Par conséquent, une stratégie bien pensée autour d'une collaboration avec les régulateurs est essentielle.
- Répondre aux demandes des personnes : après une soudaine augmentation des demandes d'exercices de leurs droits par les personnes concernées dans les premières semaines du RGPD, ces dernières se sont faites plus rares. Cependant, parce que la législation de l'UE en matière protection des données a pour objectif de donner aux individus le contrôle de leurs données, la gestion de ces demandes doit rester une priorité.
- Mettre en place les bases : alors que les recommandations sur certains aspects essentiels du RGPD – de son applicabilité extraterritoriale aux motifs légitimes de traitement – continuent à affluer, déterminer correctement la base juridique appropriée pour le traitement des données personnelles est devenue une priorité absolue. Les régulateurs attendent une base solide accompagnée d'une approche totalement transparente dans le cadre de notices d'information claires.
- Adopter une vraie stratégie d'analyse d'impact sur la protection des données (AIPD) : parmi les nouvelles exigences en matière de responsabilité du RGPD, s'assurer qu'une telle stratégie est mise en place est sans doute l'un des éléments plus importants pour garantir une bonne mise en conformité. De ce fait, les régulateurs veulent pouvoir comprendre et analyser les AIPD .
- Se préparer aux incidents de sécurité des données : Le délai de 72 heures est très court pour décider de la nécessité de notifier ou non un incident lié à la sécurité des données. L'expérience montre que le meilleur moyen pour traiter ces incidents est d'être prêt. Il est nécessaire de savoir à l'avance comment évaluer le risque potentiel pour les individus afin de déterminer s'il faut le notifier, et le cas échéant, comment.
- Protéger ses flux de données hors UE : l'une des conséquences inattendues du Brexit a été de souligner une nouvelle fois l'importance de légitimer les transferts internationaux de données. Il ne s'agit pas d'un nouvel enjeu, mais il est nécessaire de mettre en place une stratégie viable et durable pour rendre possible les flux de données. Pour beaucoup d'organisations, la première étape est de signer des accords intragroupes, puis de mettre en place des Binding Corporate Rules. Quel que soit le mécanisme utilisé, ce point est de toute première importance.