Le RGPD est arrivé !

Avez-vous apporté les changements nécessaires ? Au cas où vous auriez vécu sous un rocher (d’un point de vue de la protection des données) ces deux dernières années (ou deux dernières semaines dans certains cas !), les changements les plus importants dans les règles régissant le traitement des données personnelles sont entrés en vigueur le 25 mai.

Tous les détaillants ne sont jamais qu’à un pas des données personnelles des clients, et l’impact de ces réglementations sur la façon dont les données personnelles peuvent être utilisées rend ce sujet pertinent dans tout le secteur. Bien qu’il y ait eu une certaine agitation autour des nouvelles amendes importantes, de l’impossibilité d’utiliser les données personnelles comme on le souhaite, ou de la nécessité d’obtenir un consentement pour tout, la plupart des organisations ont adopté une approche pragmatique face à ces changements, les utilisant comme une opportunité pour mettre de l’ordre dans leur ‘maison’ et comprendre pleinement où et comment les données personnelles sont stockées et utilisées. Dans de nombreux cas, ceux qui ont eu du mal à s’adapter aux changements ne respectaient de toute façon pas le régime préexistant.

Pour être confiant en matière de conformité, les organisations devraient d’abord prendre le temps de comprendre quelles données personnelles elles utilisent, comment elles circulent dans, autour et hors de l’organisation, ce qu’elles en font et sur quelle base légale elles sont traitées, c’est-à-dire pourquoi leur utilisation est justifiée (le consentement n’est qu’un des six motifs). Il faudra ensuite vérifier que toutes les données personnelles sont traitées conformément aux principes de protection des données et aux droits des personnes concernées (personnes physiques identifiables). Dans les grandes organisations, ou lorsque le traitement est à grande échelle, concerne certaines catégories ou est potentiellement risqué, cette compréhension et cette analyse doivent toutes être documentées afin de démontrer la conformité.

Parallèlement à ce changement de mentalité concernant l’utilisation des données personnelles et la façon dont elle est documentée, les organisations devraient envisager de mettre à jour leurs politiques internes et externes ainsi que leurs procédures de consentement, afin qu’elles reflètent adéquatement et (surtout) communiquent clairement la façon dont les données personnelles sont utilisées. Les changements pertinents peuvent inclure la notification aux personnes concernées de leurs droits mis à jour en vertu du RGPD, et les informer des données personnelles obtenues, ainsi que de ce qui en est fait et de la base légale sur laquelle elles sont utilisées. D’autres obligations mises à jour concernant le signalement des violations de données, la nomination d’un délégué à la protection des données et l’utilisation d’évaluations des risques pour la vie privée peuvent également devoir être prises en compte.

Le dépôt d’une plainte contre une organisation (sans oublier l’impact associé sur la marque et la confiance des clients) reste un risque majeur dans ce domaine, et le Commissaire à l’information disposera de pouvoirs accrus en vertu du RGPD, notamment une capacité renforcée d’enquête et d’imposition d’amendes. La manière dont le Commissaire à l’information et les autres autorités européennes de protection des données exerceront ces pouvoirs accrus au cours des prochains mois sera certainement intéressante et pourrait également inciter ceux qui sont en retard en matière de conformité à se mettre à niveau.

Par James Talbot – James conseille ses clients sur un large éventail de questions de propriété intellectuelle transactionnelle ainsi que sur des questions commerciales plus larges.