Pour Frédéric Vonner, «un certain nombre de chantiers doivent d’ores et déjà être initiés» avant l'entrée en vigueur du règlement. (Photo: PwC Luxembourg)

Pour Frédéric Vonner, «un certain nombre de chantiers doivent d’ores et déjà être initiés» avant l'entrée en vigueur du règlement.  (Photo: PwC Luxembourg)

Monsieur Vonner, à qui s’appliquera ce nouveau règlement européen?

«Aux acteurs économiques au sens large: entreprises bien sûr mais également associations, secteur public, etc. Gardons en tête que lorsque l’on parle de données personnelles, on inclut les informations provenant de clients mais aussi d’employés, de partenaires commerciaux, de tiers, etc. que celles-ci se trouvent sur des ordinateurs fixes, des terminaux mobiles ou des serveurs, dans des échanges emails ou dans la consignation de connexions ou de traçages informatiques, même non identifiés, de visiteurs d’un site internet d’entreprise.

L’un des points-clés du texte est de renforcer les obligations faites aux entreprises en matière d’information, de consentement et d’analyse d’impact des traitements de données personnelles. Le domaine marketing – où la donnée et son exploitation sont au cœur de la relation client et des campagnes de prospection –, sans être emblématique est un exemple intéressant: les entreprises vont devoir faire évoluer leurs procédures, que ce soit au niveau du consentement et du profilage comme de la gestion de la preuve, car le futur texte prévoit une 'responsabilisation' des entreprises les obligeant à apporter la preuve de la conformité de leur traitement. Ceci nécessite d’expliquer les mesures mises en place par ce nouveau règlement, ce qui prend toujours du temps. Pour anticiper au mieux l’échéance du printemps 2018, un certain nombre de chantiers doivent d’ores et déjà être initiés.

Des sanctions sont-elles prévues?

«La conformité aux exigences requises par le GDPR devient cruciale. Avec une échéance fixée au 25 mai 2018 comme nous le disions, les entreprises risquent de lourdes sanctions pénales pouvant aller jusqu’à 4% de leur chiffre d’affaires annuel mondial ou 20 millions d’euros en cas d’infraction.

Les obligations du nouveau règlement supposent qu’une entreprise doit à tout moment savoir de quelles données elle dispose, leur localisation, l’objectif de leur collecte et leur mode de gestion, stockage, sécurisation, transfert dans et hors de l’UE (plus complexe encore depuis l’annonce du Brexit) voire leur effacement. De plus, l’entreprise doit être en mesure de déceler si leur intégrité a été compromise et y remédier, tout en consignant et en notifiant l’événement avec diligence.

Mais c’est une réelle opportunité de confiance et de croissance aussi: différentes études ont récemment montré que les consommateurs en Europe ont peu confiance dans les entreprises en termes de gestion de leurs données personnelles, alors même qu’à l’heure de la digitalisation, de plus en plus d’entreprises ont un modèle économique qui repose sur la validité de ces mêmes données. En outre, la valeur commerciale de celles-ci croît, ou est censée croître, si elles sont justes et saines.

Le nouveau règlement européen pourra ainsi simplifier et peut-être assainir la gestion des données en permettant plus de transparence et in fine de confiance. Plutôt qu’un frein, c’est un véritable accélérateur économique que représentent les données personnelles, qui continueront de croître de façon exponentielle avec le développement des objets connectés. Cela permettra à chaque entreprise en conformité avec le nouveau règlement de comprendre et d’évaluer à leurs justes valeurs ces données personnelles et, pourquoi pas, d’en tirer parti et profit, tout en respectant le consommateur.

Si la nouvelle réglementation définit un cadre strict à la collecte, au traitement et à la gestion des données personnelles – posant même des sanctions élevées –, elle place aussi la sécurité de ces mêmes données au cœur de l’activité des entreprises. Plus qu’un ensemble de contraintes, le nouveau règlement européen doit être considéré comme une opportunité de croissance. S’y conformer est certes une obligation, mais c’est également un investissement dont le retour s’avèrera positif et profitable, si le tournant réglementaire a bien été pris et accompagné.

Cette conformité réglementaire s’accompagne d’un nouveau venu: le DPO?

«La fonction de data protection officer dont vous parlez n’est pas nouvelle, elle se démocratise dans les entreprises qui, pour certaines, vont devoir s’en doter et dont les missions vont au-delà du caractère légal du traitement des données et des bonnes pratiques informatiques de l’entreprise. Ce ‘DPO’ sera un véritable commissaire à la protection des données et veillera à l’application et à la conformité de l’entreprise à ce nouveau règlement européen, et ainsi son respect de la protection des données personnelles, la confidentialité de ces données mais aussi leur sécurité contre toute cyber-attaque. Un autre enjeu d’importance intrinsèquement lié…»