Volet N°1 :« RGPD: plus que quelques mois avant l’entrée en vigueur des nouvelles règles! »
Mardi, le 10 octobre, la Chambre de Commerce du Grand–Duché de Luxembourg et son Entreprise Europe Network-Luxembourg, en étroite collaboration avec la Commission nationale pour la protection des données (CNPD), a accueilli dans ses locaux près de 320 participants pour la première session du nouveau cycle de conférences intitulé « Fit4DataProtection : Le nouveau Règlement relatif à la protection des données : en route vers la mise en conformité !».
Comme l’a souligné Madame Anne-Sophie Theissen, Membre du Comité de Direction et Directrice, Avis et Affaires juridiques de la Chambre de Commerce dans son allocution d’ouverture, « A l’ère digital, la numérisation de l’économie et plus généralement de la société a démultiplié le nombre de données personnelles traitées par chacun au quotidien. Le traitement de données a pris depuis des années déjà une importance croissante tant pour les entreprises (qui, lorsqu’elles traitent des données, ont la qualité de responsables de traitement) ou du point de vue des individus (ou personnes concernées par de tels traitements) qui doivent tous deux s’y conformer. »
Dans ce contexte, cette première session baptisée « RGPD : plus que quelques mois avant l’entrée en vigueur des nouvelles règles!» avait pour objectif de sensibiliser les entreprises sur la nécessité de se mettre en conformité avec le nouveau cadre européen et de les informer notamment sur les nouvelles obligations qui leur incombent à cet égard.
Lors de la séance inaugurale, Madame Tine A. Larsen, Présidente de la Commission nationale pour la protection des données a brièvement présenté les notions élémentaires qui permettent à répondre aux questions telles que : Qu’est-ce qu’une donnée personnelle ? Qu’est-ce qu’un traitement de données à caractère personnel ? Et qui est impliqué par cette nouvelle règlementation ? Elle a ensuite présenté les principaux changements de paradigme liés au contrôle a priori et au contrôle a posteriori, à savoir notamment le principe de protection des données dès la conception (ou « privacy by design ») et, d’autre part, les mesures permettant de garantir que, par défaut, seules les données qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées (« privacy by default »).
Dans cette continuité, Monsieur Gary Cywie, Avocat à la Cour, Allen & Overy et Monsieur Vincent Wellens, Avocat à la Cour, NautaDutilh Avocats Luxembourg ont axé leurs présentations sur l’impact que présentent ces nouvelles dispositions pour les entreprises. Le premier a particulièrement insisté sur le droit à et l’obligation d’information qui jouent un rôle crucial. Le second s’est étendu sur la tenue du registre des activités de traitement de données, qui constitue un autre aspect intrinsèquement lié au droit à l’information ainsi que la pierre angulaire du RGPD. En effet, chaque responsable du traitement, le cas échéant son représentant, doit tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement ou effectuées sous sa responsabilité.
Pour illustrer ces propos, deux entreprises, à travers le témoignage de Monsieur Laurent Schonckert Directeur de Cactus, et Madame Anna Zeiter, Director of Privacy & Data Protection Officer, EMEA chez eBay, ont fait part de leurs expériences dans le cadre de leur travail de mise en conformité au RGPD. Ils ont notamment insisté sur l’importance d’impliquer tous les niveaux de l’entreprise au processus de sensibilisation, mais aussi de considérer le RGPD non comme une obligation en soi mais surtout comme une opportunité. Une opportunité pour mieux faire et pour démontrer que la protection des données des personnes physiques, respectivement des clients, est un enjeu majeur de confiance.
Dans son mot de clôture, Madame Sagramola, Gérante de l’Entreprise Europe Network Luxembourg et modérateur de cette conférence, a insisté sur l’importance pour la Chambre de Commerce et son Entreprise Europe Network de rester à l’écoute permanente des besoins ressentis par les chefs d’entreprise luxembourgeoises sur le terrain, et en particulier des PME et des micro-entreprises. Elle a rappelé les différentes missions de l’EEN Luxembourg, dont l’une des activités principales consiste à sensibiliser les entreprises nationales à l’acquis communautaire et à les accompagner, d’ordre général, dans l’intégration de l’approche communautaire dans leur quotidien.
En seconde partie de conférence, deux ateliers thématiques se sont déroulés parallèlement l’un de l’autre et ont permis d’aborder de manière plus approfondie certains des aspects de cette thématique complexe.
L’un des ateliers, intitulé « Renforcement des droits des personnes concernées : quelles obligations pour les entreprises ? », animé par Monsieur Charles-Henri Laevens, Avocat à la Cour, Allen & Overy, a notamment pu aborder, à travers des exemples concrets, les différentes obligations et droits des personnes concernées telles que notamment le droit à l’effacement et le droit à la portabilité. Il a ensuite terminé son atelier en présentant une check-liste destinée à regrouper les différentes étapes à suivre par les entreprises dans leur processus de mise en conformité.
L’autre atelier, intitulé «Testez votre conformité avec le nouvel outil de la CNPD, le « Compliance Support Tool ! », animé par Monsieur Christophe Buschmann, membre effectif de la CNPD, a présenté le Compliance Support Tool, dont le référentiel d’exigences a été élaboré par la CNPD, en collaboration avec le LIST. L’objectif de cet outil est d’élaborer une solution innovante et intuitive pour permettre aux entreprises utilisatrices de vérifier le niveau de maturité de leurs organisations en matière de protection des données. L’outil permettra non seulement de gérer un registre de traitement, ainsi que tous les autres documents nécessaires à démontrer leur responsabilité, mais également de réaliser un suivi sur l’évolution du niveau de maturité de leurs organisations.
Les questions et commentaires qui ont suivi ces interventions ont été nombreux. Ceci montre l’intérêt des chefs d’entreprises pour l’entrée en vigueur du RGPD. Comme le témoigne un des participants, Monsieur Cengiz Yildiz, Hifi International, des conférences de ce type, permettent de mieux structurer toutes les nouvelles informations liées à la mise en place du RGPD.
C’est ainsi que pour pouvoir poursuivre le travail de sensibilisation et d’accompagnement des entreprises dans le travail de mise en conformité au RGPD mais aussi d’approfondir certaines questions clés, le cycle Fit4DataProtection, mis en place par la Chambre de Commerce et son Entreprise Europe Network-Luxembourg, se prolongera en 2017 et 2018 avec l’organisation de sessions informatives complémentaires.
Comme l’a souligné Madame Adeline Jurjevic, de la société Antilopea, des conférences plus ciblées sur le profilage et la règlementation seraient par exemple une piste à approfondir davantage.
Dans ce contexte, pour que les prochaines manifestations du cycle « Fit4DataProtection : Règlement relatif à la protection des données (RGPD) : en route vers la mise en conformité ! » puissent répondre au mieux aux interrogations et attentes des entreprises, vous êtes invité à nous communiquer les sujets que vous souhaiteriez voir aborder à l’avenir en cliquant sur le lien ci-après : https://mindool.com/p/IupzDzaPqV6
Pour toute information supplémentaire, vous pouvez trouver les différentes présentations des orateurs en annexe, ou consulter le site web de la Commission nationale pour la protection des données sous https://cnpd.public.lu/fr/index.html.