Règlement européen sur la protection des données : bien se préparer à la transformation numérique

Fit4DataProtection

La Chambre de Commerce du Grand–Duché de Luxembourg et son Entreprise Europe Network-Luxembourg, en étroite collaboration avec la Commission nationale pour la protection des données (CNPD), a accueilli dans ses locaux près de 220 participants ce 27 novembre dernier, pour la deuxième session du cycle de conférences intitulé « Fit4DataProtection : Le nouveau règlement relatif à la protection des données : en route vers la mise en conformité !».

Comme l’a souligné Sabrina Sagramola, Gérante de l’Entreprise Europe Network-Luxembourg de la Chambre de Commerce dans son allocution d’ouverture : « L’objectif de ce cycle de conférence n’est pas uniquement de sensibiliser les entreprises, mais également de leur fournir un premier kit d’informations pour se préparer à l’entrée en vigueur de ce nouveau règlement. Ainsi, ces conférences se veulent complémentaires aux nombreuses séances de sensibilisation et formations déjà mises en place par la Commission nationale pour la protection des données. »

Lors de la séance inaugurale, Christophe Buschmann, Membre effectif de la CNPD, et Mathilde Stenersen, juriste au sein de la CNPD, ont présenté les sept étapes à suivre pour se  mettre en conformité au RGPD.

A cette occasion, Mathilde Stenersen a rappelé qu’il était important que tous les décideurs et personnes clés de l’entreprise soient informés des changements liés au RGPD. Il a été recommandé de commencer d’ores et déjà à établir un inventaire de l’ensemble des traitements de données personnelles mis en œuvre, via notamment la tenue d’un registre des traitements. Une approche permettant de guider les entreprises dans cet exercice pourrait consister pour chaque traitement de données à se poser les questions suivantes : Qui ? Quoi ? Pourquoi ? Jusqu’à quand et comment ?

En poursuivant sur cette lancée, Christophe Buschmann a souligné que pour pouvoir garantir un haut niveau de protection des données personnelles, il était judicieux de mettre en place des procédures internes qui garantissent à tout moment la protection des données, en respectant entre autres les trois principes clé du RGPD à savoir la minimisation du traitement des données (en traitant uniquement ce qui est strictement nécessaire), la transparence et la visibilité. « De manière générale, mieux vaut établir une approche proactive que réactive », a conclu le représentant de la CNPD lors de son intervention.

Me Charles-Henri Laevens, avocat à la Cour, Allen & Overy, a pris la relève en présentant les notions élémentaires qui permettent de répondre aux interrogations sur les responsabilités et obligations particulières qui s’imposent aux sous-traitants. Les data centers, les fiduciaires,  les sociétés de sécurité informatique ou encore les agences de marketing ou de communication sont directement responsables lors d’une mauvaise exécution de ces obligations contractuelles (non-respect des instructions) vis-à-vis des personnes en charge du traitement, mais également vis-à-vis des personnes, dont ils traitent les données. De ce fait, ces dernières peuvent demander réparation intégrale de leur préjudice aux sous-traitants,  pour donner lieu à de lourdes amendes, a souligné Maître Laevens.

Pour conclure, Madame Sagramola a rappelé en sa qualité de modérateur, que l’objectif de cette conférence n’était pas d’effrayer, mais de veiller avec la Commission nationale pour la protection des données, à ce que les nouvelles dispositions du RGPD soient bien comprises et appliquées :  « Il ne faut pas considérer ce nouveau règlement communautaire comme une contrainte, mais plutôt comme une opportunité permettant à une société de s’ouvrir sur le numérique, le tout dans un climat de confiance et dans le respect de nos principes fondamentaux. »

La deuxième partie de la manifestation a été consacrée à la tenue de deux ateliers de travail qui se sont déroulés en parallèle et qui étaient principalement dédiés aux activités des ressources humaines et du marketing.

Le premier atelier, intitulé « Les nouvelles dispositions du RGPD : Quels enjeux pour les responsables des ressources humaines ? » était animé par Mélanie Gagnon, CEO et fondateur de MGSI, qui a abordé les différentes étapes à suivre lors du processus de recrutement, d’évaluation et de gestion des ressources humaines dans le cadre du RGPD. Lors de sa présentation, Madame Gagnon a notamment mis en avant l’importance de la sensibilisation du personnel RH face au RGPD ainsi que l’importance d’être en mesure de pouvoir démontrer, à tout moment, la légitimité des données récoltées ou stockées. Elle a en outre relevé l’aspect des médias sociaux en soulignant qu’une donnée publique peut également constituer une donnée à caractère personnel, en faisant référence, par exemple, aux données publiées sur Facebook par des candidats à une offre d’emploi.

Le deuxième atelier, intitulé « Les nouvelles dispositions du RGPD : Quels enjeux pour les responsables marketing ?», animé par Me Vincent Wellens, associé auprès de NautaDutilh Avocats Luxembourg, a porté principalement sur l’impact qu’auront les nouvelles dispositions du règlement sur le domaine du marketing. « Le principe du libre consentement des personnes concernées joue un rôle crucial, surtout  dans le domaine du marketing» a conclu l’avocat.

Les questions et commentaires qui ont suivi ces interventions ont été nombreux et se sont prolongés lors d’un networking lunch, qui a démontré l’intérêt que les chefs d’entreprise portent à l’égard de l’entrée en vigueur du RGPD.

Comme en témoigne une des participantes, Fabiana Caruso de l’entreprise Kidsville, les enjeux du RGPD sont nombreux et c’est un véritable travail interne qui va devoir être effectué, tant sur la formation des employés, que sur le tri des bases de données actuelles. Carmen Patte de la société  Editus, qui a également participé à la conférence, a ajouté qu’il était important de dresser dès maintenant un inventaire des traitements de données et de mettre en place des mesures de sécurité et de prévention.

Dans le but de poursuivre ce travail de sensibilisation et d’accompagnement des entreprises dans le contexte du RGPD, mais aussi afin d’approfondir certaines questions clés, le cycle Fit4DataProtection se prolongera en 2018 avec l’organisation de sessions informatives complémentaires prévues au courant des mois de février et mai.

Face aux nouveaux modèles économiques de nature disruptive et à une société produisant, partageant et démultipliant le nombre de données personnelles traitées au quotidien à un rythme sans précédent, il appartient à la Chambre de Commerce d’aider les entreprises luxembourgeoises, et les PME et les micro-entreprises en particulier, à se préparer à temps à cette révolution digitale.

Les différentes présentations des orateurs peuvent être téléchargées ci-dessous. Pour plus d’informations, nous vous invitons à consulter le site web de la Commission nationale pour la protection des données sous : https://cnpd.public.lu/fr/index.html.