Retour sur la conférence du club MTR : Protection des données personnelles

10/01/2018

Management Transversal des Risques - Formation inter-entreprise

Actualités

En juin dernier se tenait une conférence du club Management Transversal des Risques, dont le sujet était :

Protection des données personnelles : comment gérer les risques et se conformer au nouveau règlement européen sur la protection des données personnelles ?

Le règlement général sur la protection des données personnelles (RGPD) entre en application en mai 2018. Il renforce les droits des personnes physiques, pose de nouvelles obligations pour les entreprises et oblige à repenser les dispositifs de conformité. A la logique de contrôle et d’autorisation préalable aux traitements, le RGPD substitue une approche fondée sur les risques et sur une responsabilisation accrue des organisations qui va de pair avec un alourdissement des sanctions (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires). Les entreprises devront notamment s’assurer que les traitements de données personnelles garantissent dès leur conception (« privacy by design »), puis à chaque utilisation, le plus haut niveau possible de protection (« privacy by default »).

Parmi les nouveautés les plus structurantes pour les organisations en matière de mise en conformité règlementaire - et la liste n’est pas exhaustive : le renforcement des obligations déjà existantes en matière de collecte et de gestion du consentement (opposition, rectification, retrait, effacement des données) ; des dispositions plus contraignantes voire nouvelles sur les conditions de licéité des traitements et leur évaluation (étude d’impact), sur les durées de conservation et sur la protection de la confidentialité des données (par exemple, obligation de notifier les violations de données) ; la mise en place de nouveaux dispositifs de gestion (registre des traitements) et la création de nouvelle fonction (délégué à la protection des données) ; enfin, un encadrement plus étroit des relations avec les sous-traitants et des transferts de données.

 

La conférence animée par Vincent Guérin du cabinet Harwell Management a été l’occasion d’examiner les enjeux et les impacts du RGPD sur les fonctions Risques, en phase projet de mise en œuvre réglementaire comme en phase de « run ». Tout d’abord en matière de gestion des risques opérationnels et des risques IT : par exemple, les exigences du RGPD sur les sous-traitants font écho aux enjeux relatifs à la maîtrise des risques sur les prestations de service essentielles externalisées, tandis que l’obligation de notification des violations est à considérer avec les dispositifs de gestion des risques liés à la cybercriminalité. Ensuite en matière d’évaluation, notamment autour des modes d’intervention possibles de la fonction Risque dans les études d’impact et, plus largement, dans les dispositifs de contrôle interne en lien avec la gestion de la donnée. Enfin, dans la détermination de l’appétit au risque des dirigeants. Sur ce dernier point, le RGPD n’oppose pas digitalisation et protection des données personnelles mais - en deçà des questions de business model (partage ou non des données personnelles, valorisation / marchandisation ou non de ces donnée) - offre un nombre limité d’exemption juridiques possibles et qu’il convient de manier avec précaution.

----

// DÉCOUVRIR LA FORMATION MANAGEMENT TRANSVERSAL DES RISQUES //

----

Retrouvez l'IAE Paris Sorbonne Business School sur :