Ce dernier volet du blog en deux parties sur le Brexit et le GDPR examinera la conformité et la responsabilité, ce que le Brexit signifie pour les entreprises au Royaume-Uni et où nous en sommes avec le GDPR.

Lisez le premier volet ici.  

GDPR – Assurer la conformité et la responsabilité

La conformité au GDPR exige l’identification définitive de toutes les données personnelles détenues, l’assurance d’indiquer comment et pourquoi ces données sont collectées, et la capacité d’indiquer précisément où les données collectées sont stockées. Pour qu’une organisation responsable du traitement des données se mette en conformité avec le GDPR, elle doit tout d’abord procéder à une évaluation de sa situation actuelle afin d’identifier les lacunes en matière de conformité. En hiérarchisant les mesures correctives, une organisation peut alors se frayer un chemin vers la conformité au GDPR.

Les responsables du traitement des données doivent également garder à l’esprit qu’ils sont responsables en dernier ressort de la conformité et qu’ils peuvent donc être tenus pour responsables des activités de traitement de tout sous-traitant de données (par exemple, les fournisseurs de services en nuage) qu’ils engagent. Cela nécessite une réflexion approfondie lors de l’établissement ou de la révision de contrats qui s’étendent au-delà du 25 mai 2018.

L’un des thèmes récurrents du GDPR est la responsabilité. Les organisations doivent être en mesure de prouver aux personnes concernées et aux régulateurs qu’elles ont suivi la bonne voie, souvent des années après la prise de décision initiale. Des délégués à la protection des données (DPD) sont obligatoires pour certaines catégories d’organisations, telles que les autorités publiques et celles impliquées dans des traitements à haut risque. Le DPD doit avoir une « connaissance experte » de la législation sur la protection des données et il est de son devoir d’informer et de conseiller sur la conformité. Le GDPR stipule également la nécessité d’adopter une approche de protection des données dès la conception et par défaut pour le traitement des données personnelles. Les organisations doivent donc adopter un état d’esprit fondé sur la proactivité plutôt que sur la réactivité et sur la prévention plutôt que sur la réparation. L’utilisation d’évaluations de l’impact sur la vie privée (EIVP) est recommandée, et dans certains cas obligatoire, pour aider à cet égard.

Brexit in, Big Business out ?

À l’heure actuelle, les données circulent naturellement au-delà des frontières. Le Royaume-Uni doit-il  ne soit pas considéré comme ayant un niveau de protection adéquat, tout transfert vers le Royaume-Uni devrait se faire par l’intermédiaire de clauses types de l’UE, ce qui représente une tâche très lourde sur le plan administratif.

Des clauses types sont utilisées pour permettre le transfert de données vers des pays non membres de l’UE et sont réglementées par les autorités de contrôle. Des règles d’entreprise contraignantes (BCR) peuvent également être nécessaires. Il s’agit fondamentalement du même instrument que les clauses types, mais il est mis en place par l’entreprise elle-même pour les transferts intra-entreprise. Cela entraînera des dépenses supplémentaires et pourrait inciter certaines entreprises à transférer une partie de leurs activités dans l’UE, du moins jusqu’à ce que la situation devienne plus claire. D’autres entreprises britanniques créeront probablement des sociétés fantômes dans l’UE pour délimiter les données dans un souci de simplicité, une solution compliquée et coûteuse conçue pour faciliter le traitement des données. Les entreprises établies en dehors de l’UE pourraient tout simplement éviter de s’établir au Royaume-Uni.

GDPR – Où en sommes-nous ?

La secrétaire d’État Karen Bradley MP a confirmé lors de la réunion de la commission de la culture, des médias et des sports du24 octobre 2016 : « Nous serons membres de l’UE en 2018 et il serait donc attendu et tout à fait normal que nous options pour le GDPR et que nous examinions plus tard comment nous pourrions aider au mieux les entreprises britanniques en matière de protection des données tout en maintenant des niveaux élevés de protection pour les membres du public. » 

Depuis plusieurs années, c’est en fait l’ICO et le gouvernement britannique qui ont poussé à la réforme de la législation européenne dans l’espoir d’une évolution continue de l’économie numérique du Royaume-Uni. La commissaire à l’information, Elizabeth Denham, a fait le commentaire suivant

« La croissance de l’économie numérique nécessite la confiance du public dans la protection des (données personnelles)… L’ICO s’engage à aider les entreprises et les organismes publics à se préparer à répondre aux exigences du GDPR avant mai 2018 et au-delà. »

Mme Denham reconnaît également que des questions sur la manière dont le GDPR fonctionnerait si le Royaume-Uni quittait l’UE seront encore posées, mais cela ne devrait pas détourner l’attention de la tâche de mise en conformité avec le GDPR d’ici mai 2018.

Pour vous assurer que votre personnel est pleinement conscient du GDPR et de la manière dont il s’applique à votre organisation, contactez-nous pour plus d’informations ou demandez une démonstration de notre cours eLearning sur le GDPR.