57 / 72
tation des traitements mis en œuvre avec des mesures de confiden-
tialité spécifiques, selon la typologie et la sensibilité des données. Le
principe d’
accountability
conduit à assurer une véritable traçabilité et
transparence vis-à-vis des autorités.
La mise en œuvre de ce principe d’
accountability
nécessite, au sein
de l’entreprise, l’intervention forte du CIL, futur Data Privacy Officer
(pilier du respect de la conformité).
D’autres principes fondamentaux sont mis en œuvre comme celui de la
minimisation des données collectées (
privacy by default
) ou encore de
privacy by design
. En d’autres termes, chaque nouvelle application ou
technologie traitant ou permettant de traiter des données personnelles
doit être conçue et pensée
ab initio
, en garantissant le niveau de protec-
tionleplusélevé.Cesdeuxprincipessontsemblablesmaissedifférencient
par le fait que le premier laisse une marge de manœuvre à l’utilisateur.
Le concept du
privacy by default
a notamment son utilité dans le cadre
du développement des applications mobiles. Les paramètres par défaut
de ces applications feront ainsi en sorte que la plus grande protection
des données possible soit garantie. L’utilisateur pourra alors modifier les
paramètres (permettre la localisation par exemple) à sa guise même s’il
se verra notifier les dangers de ces changements.
UN PANEL DE SANCTIONS ÉLARGI EN CAS DE MANQUEMENTS
Eu égard au contexte décrit ci-dessus, les risques associés à une
non-conformité recouvrent de multiples aspects et ne se limitent pas
uniquement aux sanctions qui peuvent être prononcées à l’encontre
d’une entreprise. Outre la responsabilité civile de droit commun à
laquelle s’expose une entreprise qui ne respecte pas la loi, rappelons
que l’ensemble des obligations incombant à un responsable de traite-
ment est sanctionné sur le plan pénal et administratif lorsqu’elles ne
sont pas respectées.
En effet, même si le montant des amendes, tel que mentionné dans le
projet de règlement européen, se veut extrêmement dissuasif (5% du
chiffre d’affaires annuel mondial), d’autres actions peuvent être pronon-
cées. Ainsi, à titre d’illustration, la CNIL a vu son pouvoir de sanction
renforcé notamment avec la possibilité d’effectuer des contrôles en ligne
et de prononcer des sanctions administratives ou encore de dénoncer au
Parquet certaines infractions.
DES RISQUES IMPORTANTS POUR L’ENTREPRISE
À la suite du prononcé des sanctions, les effets collatéraux sont nombreux.
Le premier effet est l’atteinte à l’image et à la réputation de l’entreprise
en cas de non-conformité avérée. Cet effet peut s’accompagner d’autres
conséquences sur les intérêts commerciaux comme le fait de voir des
fichiers déclarés illicites ou voir des collectes de données non recevables
par les tribunaux (comme l’absence de déclaration d’une badgeuse).
Cette approche de la conformité est d’autant plus prégnante au regard des
transferts de données internationaux, de la gestion de la sécurité et de la
confidentialité, notamment à la suite de l’invalidation du Safe Harbor par
la Cour de Justice de l’Union européenne, le 6 octobre 2015. Ainsi, dans ce
contexte, les contrats portant sur les transferts de données vers les États-
Unis doivent être renégociés dans les plus brefs délais.
Les enjeux entourant la protection des données sont désormais primor-
diaux pour la pérennité d’une entreprise. Ainsi, prendre en compte la
protection des données n’est pas à négliger sur le plan commercial et
renforce la crédibilité des entreprises, notamment auprès des éventuels
investisseurs ou de leurs clients.
En d’autres termes, la conformité au regard des données à carac-
tère personnel est un véritable outil de Management du Risque et de
l’image d’une entreprise.
ATOUT RISK MANAGER, LA REVUE DE L’AMRAE
I N°7 I
DÉCEMBRE 2015
57
VEILLE ET POSITION