Protection des données et conformité au RGPD : J-10 jusqu’à l’entrée en vigueur

Cycle de conférences Fit4DataProtection

Le 14 mai 2018, la Chambre de Commerce et son Enterprise Europe Network-Luxembourg, ont accueilli près de 270 participants pour la 4^ème session du cycle de conférence « Fit4DataProtection », organisé en étroite collaboration avec la Commission nationale pour la protection des données (CNPD).

Consciente que l’identification des non-conformités au RGPD et la mise en œuvre de mesures concrètes peut s’avérer difficile pour les entreprises, et en particulier pour les PME, la Chambre de Commerce et les cinq fédérations professionnelles ABBL, ACA, clc, FEDIL et HORESCA ont décidé d’unir leurs forces pour cette manifestation, afin d’approcher de manière concertée, les problématiques et les questions les plus fréquemment posées par les entreprises relevant des secteurs des banques et assurances,  du commerce, de l’industrie, des services et de l’Horeca.

C’est dans ce contexte que cette conférence a eu pour ambition de fournir aux entreprises, qu’il s’agisse des PME ou des plus grandes entreprises, des conseils pratiques en termes d’organisation et de procédures internes, en explicitant les principes clés du RGPD et en rappelant les outils qui sont à leur disposition pour amorcer ou poursuivre sereinement le travail de mise en conformité  à quelques jours de l’entrée en vigueur du RGPD.

Dans son allocution d’ouverture, Carlo Thelen, Directeur Général de la Chambre de Commerce, a précisé le rôle de la Chambre de Commerce : « Notre intérêt commun est, en effet, que les nouvelles dispositions du nouveau cadre légal soient bien comprises et appliquées et ne constituent surtout pas un obstacle, mais deviennent, au contraire, une sorte de « routine », pour que les entreprises puissent se concentrer sur ce qui est pour eux le plus important, c’est-à-dire leur daily business.»

Poursuivant, Mme Viviane Reding, Députée Européenne et anc. Vice - Présidente de la Commission européenne, a insisté sur le fait qu’il ne faut pas oublier que beaucoup de dispositions figurant dans le RGPD existaient déjà sous l’ancienne directive de 1995 transposée au Luxembourg par la loi de 2002. « Tout n’est donc pas nouveau », a-t-elle dit pour rassurer les participants dans la salle en soulignant que les entreprises ne doivent pas se soumettre  au « marketing de la peur ».

Après les allocutions introductives, M. Christophe Buschmann, Commissaire et Membre effectif de la CNPD, a rappelé les points clés de la mise en conformité à travers l’exemple des ressources humaines. Une bonne implémentation selon lui repose avant tout sur une bonne compréhension des principes de transparence (à l’égard des personnes dont les données sont traitées) et de minimisation des données  ainsi qu’un bon équilibre entre protection des personnes physiques à l’égard du traitement des données à caractère personnel et libre circulation de ces données. Dans sa présentation, il est notamment revenu sur les informations à faire figurer sur le registre des activités de traitement,  sur les particularités de la sous-traitance, du consentement et de la durée de conservation des données, en fournissant des exemples et recommandations en lien avec la gestion des données en matière de ressources humaines notamment lors de la phase du recrutement d’un candidat, de la gestion courante des activités RH et finalement du départ d’un salarié.

Maître Dorothée Ciolino, Associée auprès de DCL Avocats, a complété cette première présentation en mettant l’accent sur l’organisation et les procédures à mettre en œuvre par les entreprises dans le cadre de leur processus de mise en conformité. Après avoir brièvement rappelé la nécessité de répertorier les traitements et gérer les risques, notamment à travers la mise en place d’un registre des activités de traitement, elle s’est attardée sur la création d’une organisation de la conformité, seule à même de refléter le degré de maturité de la conformité d’une entreprise au RGPD. Ceci se concrétise notamment à travers des procédures internes en commençant par la nomination d’un Délégué à la Protection des Données (DPO) lorsque celle-ci est obligatoire, respectivement d’une personne en charge de la coordination générale de l’exercice de mise en conformité ainsi que la centralisation de toutes les demandes relatives à la gestion des données personnelles. Me Dorothée Ciolino a conclu son intervention en relevant l’importance d’impliquer tous les niveaux de l’entreprise dans le cadre de la mise en place d’un processus de sensibilisation de l’ensemble du personnel et de formations postérieures.

Un point d’actualité a été abordé par M. Marc Kieffer, Secrétaire Général de la Fedil, concernant les traitements des données des salariés sur le lieu de travail (vidéosurveillance, badging, horaire mobile…) alors que des amendements gouvernementaux relatif au projet de loi n° 7184 exécutant certains aspects du RGPD sont encore en discussion à la Chambre des Députés et que le régime définitif qui sera applicable à ce type de traitement n’est pas encore connu à ce stade.

Reprenant la parole, M. Christophe Buschmann a expliqué, de manière transparente, quelles seront les attentes de la CNPD lorsqu’elle effectuera un contrôle de conformité auprès des entreprises et ce qu’elle sera susceptible de demander. Après avoir passé en revue les différentes possibilités de contrôle, les étapes préventives durant et à la suite d’un contrôle ainsi que la prise de décision, il a rassuré les participants sur le fait que ces contrôles serviront, dans un premier temps surtout, à accompagner les entreprises en vue de bien mettre en œuvre les obligations du RGPD, insistant de nouveau sur le rôle de la CNPD couvrant tant le contrôle que la guidance.

Rythmée par Thierry Raizer, modérateur de la conférence et rédacteur en chef chez Maison Moderne-Paperjam, la matinée s’est achevée par une séance de questions/ réponses qui a permis aux participants de partager leurs réflexions et questionnements avec les experts présents et d’y trouver un certain nombre de réponses.

Après le déjeuner, la conférence s’est poursuivie avec la tenue de deux ateliers thématiques qui ont permis d’approfondir la problématique de la protection des données dans le domaine du marketing et du transfert des données à l’étranger.

Lors du premier atelier intitulé « 8 bonnes pratiques pour le marketing », Maître Elisabeth Guissart, Associée auprès de C/law, a notamment présenté des conseils pratiques dans le cas du profilage, de l’utilisation des cookies et d’autres outils types « traceurs » ainsi que lors de la prospection électronique.

Quant au  deuxième atelier, intitulé « Problématiques liées au transfert des données personnelles hors UE » qui se tenait en parallèle, il a permis à Me Dorothée Ciolino de détailler les différents scénarios possibles dans le cadre de transfert de données dans  et hors Union européenne et de s’attarder sur la délicate conciliation entre transfert et secret professionnel.

Alors que le RGPD entre en vigueur le 25 mai 2018, le cycle de conférences « Fit4DataProtection » a été mis en place au cours de l’année 2017 avec la volonté d’informer le plus tôt possible les entreprises sur l’existence et l’importance du RGPD en définissant un programme de plus en plus pointu mais également de plus en plus pratique au fil des conférences. L’objectif a également été de faire passer des messages positifs en direction des chefs d’entreprise qui ne doivent pas voir le RGPD comme une cassure violente dans leurs habitudes - une révolution - mais plutôt une évolution incontournable à l’ère de la digitalisation. Dans ce contexte, les manifestations organisées ont été conçues avec l’objectif d'apporter les éléments clés pour une meilleure anticipation et ainsi une transition souple par la mise en place  au sein des entreprises luxembourgeoises de bonnes pratiques en termes de traitement de données.

« Pour la Chambre de Commerce et  ses services, il est important de rester à l’écoute des besoins de ses ressortissants et de poursuivre l’accompagnement des entreprises dans ce travail de mise en conformité. Dans cette perspective, une nouvelle conférence sera envisagée à un stade ultérieur afin de dresser un premier bilan de l’entrée en vigueur du RGPD et pouvoir cerner, à ce moment-là, les difficultés ou problèmes éventuels que les entreprises continueront à rencontrer sur le terrain », poursuit le Directeur Général de la Chambre de Commerce, M. Carlo Thelen.

Par ailleurs, il est important de noter que la House of Entrepreneurship mène également des actions de sensibilisation au niveau de la protection des données, en partenariat avec la CNPD notamment. Dans ce contexte, le One-Stop-Shop accueille, par exemple, sur rendez-vous ou lors des heures de permanence, les entrepreneurs qui souhaitent avoir plus d’informations sur les grandes lignes du règlement ou quelques premiers conseils en matière de mise en conformité.

Pour toute information complémentaire, vous pouvez consulter en bas de cette page les différentes présentations des orateurs ayant participé au cycle de conférences « Fit4DataProtection », sous « Fichiers joints », ou encore consulter les liens utiles repris ci-dessous :

• Site de la CNPD : https://cnpd.public.lu/fr/commission-nationale.html
• Brochure de la CNPD (Guide pour les entreprises) : https://cnpd.public.lu/fr/publications/brochures.html
• Site de l’Association pour la protection des données (APDL) : http://apdl.lu/
• Brochure RGPD – Chambre de Commerce : http://www.cc.lu/actualites/detail/le-reglement-general-sur-la-protection-des-donnees-qui-quoi-comment-rappels-elementaires/
• Fit4DataProtection - Volet N°1 : http://www.een-events.com/fit4dataprotection-volet1/Home/Page/75
• Fit4DataProtection - Volet N°2 : http://www.cc.lu/actualites/detail/reglement-europeen-sur-la-protection-des-donnees-bien-se-preparer-a-la-transformation-numerique/
• Fit4DataProtection - Volet N°3 : http://www.cc.lu/actualites/detail/protection-des-donnees-et-conformite-au-rgpd-80-jours-pour-agir/