Le 25 mai 2018, un nouveau territoire de conformité sera ouvert pour les entreprises, celui de la protection des données personnelles.
Le règlement européen de protection des données personnelles entrera en vigueur dans moins d’une année. Il sera applicable directement et sans autre formalité, puisqu’il s’agit d’un règlement. Cette réglementation constitue une rupture par rapport à la législation actuelle. Elle instaure un système d’autocontrôle par les entreprises de la manière dont elles assument la protection des données personnelles, tant pour leurs activités économiques que pour celles qui ressortent de leur fonctionnement. Plus de déclarations préalables, plus de formulaires, mais un ensemble de règles formelles, d’études d’impact visant à garantir l’efficacité des mesures de protection des données, et, le cas échéant de renforcer les protections nécessaires.
Cette reconnaissance de la maturité des entreprises qui doivent être capables d’assumer leurs engagements ne va pas sans contrôle. Ainsi, nous allons assister à la montée en puissance des autorités de protection des données constituées en réseau comme nous avons pu le vivre dans la finance. Ce « Comité européen de protection des données » sera appelé à donner des avis qui pourront être contraignants. La CNIL deviendra l’autorité française de contrôle des données et elle pourra infliger des sanctions sous la forme d’amendes, notamment, allant jusqu’à 4% du chiffre d’affaires mondial de l’entreprise. Ce qui est colossal et souligne combien le législateur européen veut donner aux régulateurs les moyens d’agir.
L’autre grande différence avec la situation actuelle réside dans la portée territoriale de ces nouvelles règles européennes. En effet, le Règlement s’appliquera à toutes les entreprises qui traitent des données personnelles où que ce soit dans le monde pour peu qu’il s’agisse de traitements liés à l’offre de biens et services ou au suivi de celles-ci au sein de l’Union européenne. C’est bien dans la dimension extraterritoriale que réside le point fondamental de cette réglementation. L’Europe s’est dotée des moyens de ses ambitions. D’ailleurs, les grands acteurs mondiaux du traitement des données ne s’y sont pas trompés. Ils ont cherché à réduire la portée de ces contraintes. Ils vont devoir se résoudre à respecter un corps de règles dont ils se sont, le plus souvent, affranchis.
Les activités de l’assurance sont d’autant plus impactées que la dématérialisation des données est déjà très avancée. Tous les acteurs sont concernés. Les différentes composantes internes, mais aussi tous les partenaires, particulièrement ceux de la distribution. En effet, ils gèrent les interfaces, stockent des données, les traitent et les enrichissent. Ils vont devoir se doter des dispositifs requis, désigner ou recruter le délégué à la protection des données (DPO) et mettre en place les procédures internes. Les spécialistes considèrent que pour se préparer les entreprises ont besoin d’une bonne année… Nous sommes donc, d’ores et déjà, dans des délais contraints. Il est donc temps de s’y mettre pour ne pas être exposé au risque de sanctions.
Henri DEBRUYNE