AMRAE - ATOUT RISK MANAGER

NOS PARTENAIRES DOSSIER RÉDACTIONNEL COORDONNÉ ET RÉALISÉ PAR HANNIBAL+ POUR LE SERVICE COMMERCIAL DE LA FFE L e RGPD s’appliquera à tout organisme établi sur le territoire de l’Union européenne (ou fournissant des biens et des services aux ré- sidents européens) qui collecte, traite et stocke des données personnelles, dont l’utilisation peut directement ou indirectement permettre d’identifier une personne. Le RGPD constitue en réalité plutôt une op- portunité qu’une menace pour les entreprises européennes. Il doit en effet permettre à l’Eu- rope de s’adapter aux nouvelles réalités du nu- mérique et vise, par une législation unique, à mettre fin à la fragmentation juridique actuelle entre les Etats membres en matière de protec- tion des données. Ce nouveau règlement européen vise ainsi à renforcer l’importance de cet enjeu auprès de ceux qui traitent les données et à responsabi- liser les professionnels. Il consacre et renforce les grands principes de la loi Informatique et Libertés, en vigueur en France depuis 1978, et accroît sensiblement les droits des citoyens en leur donnant plus de maitrise sur leurs don- nées personnelles. Afin d’assurer la mise en conformité du droit national français avec les exigences imposées par le RGPD, un projet de loi sur la protec- tion des données personnelles est actuelle- ment en cours d’examen au Parlement. Il vise à renforcer les pouvoirs de sanctions de la Commission nationale de l’informatique et des libertés (CNIL) avec, notamment, la pos- sibilité d’infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’organisme concerné. Conformément au règlement européen, il est prévu que le régime de sanctions s’appliquera non seulement au responsable de traitement mais aussi au sous-traitant. Confrontées aux nouveaux enjeux imposés par le RGPD et par la future loi d’adaptation, les en- treprises doivent donc mettre en conformité les mentions relatives aux données personnelles de leurs contrats et conditions générales de vente. Pour se prémunir des conséquences de la perte et/ou de la violation de données personnelles et éviter d’engager pleinement leur responsabilité, elles doivent également s’assurer de la validité de leurs clauses limitatives à ce titre. Par ailleurs, il n’est pas exclu que l’action de groupe dans le domaine de la protection des données personnelles (introduite par la loi n°2016-1547 du 18 novembre 2016) voit son champ d’application élargi. Dans le cadre du projet de loi, il est en effet envisagé une in- tégration du droit à réparation du dommage causé par un manquement aux dispositions de la loi Informatique et Libertés, par un res- ponsable de traitement de données à caractère personnel ou un sous-traitant. Les victimes de perte et/ou de la violation de leurs données personnelles pourraient alors demander une réparation de leur préjudice. Dans un contexte où les incidents «cyber», tels que les piratages, les défaillances informatiques et autres vols ou pertes de données se multi- plient, l’action de groupe et les réclamations des tiers pourraient alors constituer des risques supplémentaires pour les entreprises, suscep- tibles de les désorganiser et de les fragiliser. Les entreprises ont donc intérêt à se mettre en conformité dès à présent tout en préparant leur plan d'action en cas de non-conformité et leur défense. www.hmn-partners.com HMN PARTNERS RGPD, RISQUES CYBER & ACTIONS DE GROUPE Avec l’entrée en application imminente du règlement européen sur la protection des données personnelles (RGPD), les professionnels doivent concentrer leurs actions sur la mise en place d’une bonne gouvernance pour être en capacité de piloter et de démontrer leur conformité aux nouvelles règles applicables à partir du 25 mai 2018. Juliette VOGEL Avocat associé / Partner HMN & Partners ATOUT RISK MANAGER, LA REVUE DES PROFESSIONNELS DU RISQUE ET DE L'ASSURANCE I N°16 I PRINTEMPS 2018 88

RkJQdWJsaXNoZXIy MTkzNjg=