Protection des données et conformité au RGPD : 80 jours pour agir

Fit4DataProtection

Le 7 mars 2018, la Chambre de Commerce et son Enterprise Europe Network-Luxembourg, ont accueilli près de 300 participants pour la troisième session de son cycle de conférence « Fit4DataProtection », organisé en étroite collaboration avec la Commission nationale pour la protection des données (CNPD). Le règlement général sur la protection des données (RGPD) entrera en vigueur dans tous les Etats membres le 25 mai 2018. Il s’agit d’une réforme majeure, de nature à impacter en profondeur l’environnement digital des entreprises privées, organismes publics, groupements et associations. Quelles actions doivent être priorisées à moins de trois mois de l’entrée en application du RGPD ?

Dans son allocution d’ouverture, Bénédicte Schmeer, Conseillère auprès du service Avis et Affaires juridiques de la Chambre de Commerce a précisé que les nouvelles règles allaient obliger les entreprises à opérer des changements à la fois d’ordre organisationnel, informatique et juridique. Consciente que l’identification des non-conformités au RGPD et la mise en œuvre de mesures concrètes peut s’avérer difficile, la Chambre de Commerce a conçu cette troisième conférence dans l’objectif de fournir aux entreprises des outils et conseils pratiques, et de leur proposer de nouvelles clés de lecture.

Christophe Buschmann, membre effectif de la CNPD, a brièvement rappelé les trois objectifs du RGPD, à savoir : consolider les droits des personnes, renforcer les pouvoirs des autorités européennes et responsabiliser les entreprises qui traitent des données à caractère personnel. M. Buschmann s’est appuyé sur plusieurs cas pratiques pour illustrer les grands principes du RGPD et a conclu sa présentation en proposant une checklist simplifiée, destinée à fournir une aide pragmatique permettant d’évaluer de manière simple le degré de conformité au nouveau règlement.  

Un témoignage d'entreprise a étayé ces thématiques. Ainsi, Nathalie Sprauer, chef de département de la coordination du contrôle interne et chargée de protection au sein de la banque Raiffeisen, également présidente de l’Association pour la Protection des Données au Luxembourg a fait part de ses expériences dans le cadre de la mise en conformité au RGPD au sein de la banque. Elle a notamment souligné l’importance pour les entreprises de sensibiliser l’ensemble du personnel et de désigner une personne en charge de la coordination générale de l’exercice de mise en conformité. Avant de conclure, Mme Sprauer a indiqué qu’une vidéo de sensibilisation reprenant en trois minutes les principaux éléments du RGPD, était disponible sur le site de l’Association pour la Protection des Données au Luxembourg (www.apdl.lu).  

Christophe Buschmann a repris la parole pour aborder les risques et les répercussions liés à la question de la violation des données. Au-delà des sanctions financières et des risques de décrédibilisation des entreprises vis-à-vis de leurs clients et fournisseurs, les cas de violation de données à caractère personnel auront des conséquences directes pour les personnes concernées qui devront être informées lorsque ces cas de violation sont susceptibles d’engendrer un risque élevé pour leurs droits et libertés. En cas de constat de violation de données et afin de pouvoir respecter le délai de 72 heures pour la notification auprès de la CNPD, il est judicieux d’avoir déjà établi en amont une procédure interne.

Après une séance de questions/réponses animée par Sabrina Sagramola, gérante de l’Enterprise Europe Network Luxembourg, celle-ci a insisté sur l’importance pour la Chambre de Commerce de rester à l’écoute des besoins des chefs d’entreprises, des PME et micro-entreprises en particulier.

En marge de la conférence, quatre ateliers thématiques ont permis d’aborder de manière plus approfondie certains aspects des thématiques liés au RGPD. Un premier atelier intitulé « Testez votre conformité à l’aide du « GDPR Compliance Support Tool » »  a permis à Alain Hermann de la CNPD de présenter un nouvel outil permettant aux entreprises de vérifier leur niveau de maturité en matière de protections des données. Un deuxième atelier, ayant pour thème les « Mesures à considérer pour sécuriser le système informatique et protéger les données », animé par Roland Streber, Administrateur-Délégué, ProNewTech, a permis aux participants d’avoir un aperçu des mesures à mettre en œuvre pour assurer un niveau de sécurité approprié aux risques. Un troisième atelier « Transfert des données vers des pays tiers : comment puis-je transférer des données hors UE ? » a été présenté par David Alexandre, Senior Associate, Arendt & Medernach et a permis de mettre l’accent sur le  transfert des données hors des pays de l’UE, soumis à un régime strict et s’attarder sur le cas particulier de transferts vers les Etats-Unis. Un dernier atelier intitulé : « Data Protection Impact Assessment (DPIA) : quand et comment mener une DPIA ? » conduit par Mickael Tomé, Avocat à la cour et Associé, Claw, a mis en avant les critères dans le cadre d’une analyse d’impact relative à la protection des données.

Afin de poursuivre le travail de sensibilisation et d’accompagnement des entreprises dans le processus de mise en conformité au RGPD, le cycle Fit4DataProtection, mis en place par la Chambre de Commerce et son Enterprise Europe Network-Luxembourg, se poursuivra par un quatrième et dernier volet en mai 2018.

Pour toute information complémentaire, vous pouvez consulter les différentes présentations des orateurs en bas de cette page, sous « Fichiers joints ».

Vous pouvez également consulter le site web de la Commission nationale pour la protection des données sous : https://cnpd.public.lu/fr/commission-nationale.html

ou encore consulter les liens utiles repris ci-dessous :

• https://cnpd.public.lu/fr/publications/brochures.html
• http://apdl.lu/
• http://www.cc.lu/actualites/detail/le-reglement-general-sur-la-protection-des-donnees-qui-quoi-comment-rappels-elementaires/