RGPD : le standard mondial des données

Ce texte est une version augmentée et corrigée de l’article « Le Règlement RGPD, futur standard mondial du traitement des données personnelles » publié en 2017 par Pierre-Olivier Grenouiller pour l’Agora du FIC (lien).

Le Règlement européen sur la protection des données personnelles (Règlement 2016/679/UE également appelé RGPD ou GDPR en anglais) qui entrera en application le 25 mai 2018 est aujourd’hui l’une des préoccupations importantes des dirigeants d’entreprises et des professionnels de la conformité.

Ce Règlement européen va bouleverser dès l’année prochaine le domaine de la protection des données personnelles en ce sens que les entreprises devront à l’avenir passer d’une démarche de déclaration préalable à une démarche d’accountability pour être en conformité avec la nouvelle législation. Elles devront donc à tout moment être en capacité de démontrer leur bonne conformité.

Le corollaire de ce changement est l’imposition de contraintes plus nombreuses à respecter pour les entreprises ainsi que le renforcement des droits fondamentaux des personnes à la vie privée. La préoccupation des entreprises est encore renforcée par les nouvelles capacités de sanctions administratives de la CNIL et de ses consœurs européennes qui peuvent, en cas de condamnation, peser fortement sur les résultats financiers de l’entreprise avec une amende maximale de 4% du chiffre d’affaires annuel mondial.

Cependant, s’arrêter à ce constat masquerait les potentialités du Règlement RGPD.

Le règlement RGPD porte en germe un nouveau modèle pour l’industrie et le monde numérique en jetant les bases d’un nouveau standard technique et opérationnel de protection des données personnelles adapté pour réguler le monde numérique. Et pour révéler le potentiel de ce standard, le développement de solutions logicielles innovantes dites « Regtech » pour « Regulatory Technology » ou « Technologies Règlementaires » s’avère être un impératif.  L’objectif d’un tel standard est simple : permettre une libre circulation des traitements de données à travers le monde sans risque de non-conformité.

1 : Le règlement RGPD, nouveau fondement d’un standard technique et opérationnel en matière de protection des données personnelles.

Le Règlement européen sur la protection des données personnelles (RGPD) diffère des législations conçues à destination de l’ancien monde pré-numérique. Le texte ne se contente pas d’édicter des obligations et des objectifs généraux à atteindre sous peine de sanction. Il passe à la vitesse supérieure en matière de complexité et détaille de manière précise les règles à suivre pour assurer sa conformité. En ce sens, il jette les bases d’un standard technique et opérationnel de traitements des données personnelles.

La crédibilité de ce « standard RGPD » est assurée par l’étendue de son champ d’application. Le règlement RGPD est applicable non-seulement dans l’ensemble des Etats membres de l’Union Européenne mais aussi de manière extraterritoriale à toute entreprise et organisation au sens large traitant les données personnelles d’un utilisateur situé dans l’Union Européenne. Dit autrement, il a vocation à s’appliquer à toutes les entreprises et autres organisations dans le monde qui réalisent par leurs activités numériques telles que l’édition d’une app ou d’un site internet des activités de traitements de données personnelles. Le « standard RGPD » est donc potentiellement un standard à portée mondiale.

2 : Ce standard doit être implémenté de manière efficace dans les systèmes d’information des entreprises grâce à des solutions « Regtech».

Le règlement RGPD est contraignant pour les entreprises dans la mesure où les règles à respecter sont nombreuses, ce qui se traduit par un coût global de la conformité plus important et une complexification des procédures internes pour s’assurer du respect du règlement. Les expériences auxquelles j’ai pris part m’ont convaincu que réaliser une mise en conformité à l’aide des seules procédures manuelles sans utiliser de solutions logicielles adaptées se révèle compliqué et empêche de tirer parti efficacement du standard RGPD.

Les avantages apportés par ces solutions « Regtech » de technologies règlementaires sont multiples. Elles permettent ainsi d’automatiser la gestion des données personnelles, du recueil du consentement jusqu’au contrôle de la conformité. Dès lors, la gestion des données personnelles devient une opération automatisée s’adaptant au rythme et au volume des traitement de données réalisés par les systèmes d’informations de plus en plus performants. Ces solutions RegTech rendent également possible une conformité fiable et aisément auditable. Tous ces bénéfices engendrent donc un gain d’efficacité et permettent une maîtrise des coûts et des risques par les entreprises.

3 : L’adoption du standard RGPD, un gain accru de compétitivité grâce à la libre circulation des traitements de données.

L’objectif du standard RGPD est de parvenir à un système simple, fiable et exigeant pour permettre la libre circulation des traitements de données. La comparaison avec les autres systèmes juridiques montre qu’il n’existe pas actuellement de législation tendant vers un niveau d’exigence global aussi élevé que ce que prévoit le règlement RGPD. C’est sans compter les développements récents tels que l’adoption par l’Etat de Californie d’un texte de loi sur la protection des données ou encore plus récemment par la Chine d’une loi sur la protection des données très similaire au RGPD et applicable au 1er novembre 2021 (j’y reviendrai dans un autre article). La conséquence est donc que le respect du standard RGPD permettra de s’assurer de la conformité des traitements de données dans l’ensemble des systèmes juridiques. Par conséquent, le standard RGPD rendra possible une libre circulation des traitements de données sans risque de non-conformité à l’échelle mondiale.

L’utilisation de solutions logicielles innovantes RegTech par les entreprises leurs permettront de bénéficier du standard RGPD à vocation mondiale et de gérer la conformité de leurs traitements de données de manière automatisée. Recourir à ces solutions RegTech c’est l’assurance de pouvoir bénéficier au mieux de la place croissante de l’analyse des données dans nos sociétés connectées. Les entreprises équipées pourront créer et générer plus de valeur en toute conformité où que soient captées les données dans le monde, et ainsi s’assurer d’un avantage compétitif face à leurs concurrentes extra-européennes. La confiance entre les entreprises et leurs utilisateurs ou clients se trouvera également renforcée.

En un mot, il est essentiel pour l’économie européenne de prendre conscience de leurs atouts en termes de règlementation du numérique et de disposer d’outils RegTech capables de les rendre leader dans l’économie numérique d’aujourd’hui et encore plus de demain.

Ne ratons pas le train en marche.

Pierre-Olivier Grenouiller, Président de la société Act From Zero (https://www.actfromzero.com) et concepteur de la solution RegZero.

Lien vers l’article original publié par l’Agora du FIC en 2017 : https://observatoire-fic.com/le-reglement-europeen-gdpr-sera-grace-aux-solutions-regtech-le-futur-standard-technique-et-operationnel-de-traitement-des-donnees-personnelles-pierre-olivier-grenouiller-legal-it-factory/