General Data Protection Regulation - GDPR

Comprendre le règlement européen sur la protection des données personnelles et s'y préparer

  • 25/05/18

    C’est la date d’entrée en vigueur de la GDPR

  • 4%

    du chiffre d'affaires annuel mondial, c’est l’amende maximale en cas de non-conformité GDPR

  • 40%

    C'est le volume d'augmentation des données chaque année

Le règlement GDPR : une évolution majeure et nécessaire dans la gestion des données personnelles à l’échelle européenne

La General Data Protection Regulation, définitivement adoptée en avril 2016 au Parlement Européen représente un Big Bang en matière de réglementation de protection des données personnelles en Europe. Le délai de mise en conformité (conformité complète à horizon mai 2018) est très court, au regard des évolutions organisationnelles qu’elle peut impliquer et de son impact sur de nombreux domaines de l’entreprise (IT, mais aussi Commercial, RH etc.). Plus gros changement survenu dans le domaine depuis 20 ans, elle est le reflet des préoccupations croissantes des citoyens européens en matière de confidentialité et de protection de leurs données. Au-delà des nouvelles obligations qu’il impose, ce règlement représente également une formidable opportunité de :

  • Transformer l’approche de votre entreprise en matière de confidentialité des données ;
  • Renforcer la valeur de vos données et leur exploitation ;
  • S’assurer que votre organisation est prête pour l’économie digitale.

PwC vous accompagne dans la mise en conformité de vos processus avec ces nouvelles obligations, de la phase de diagnostic à l’accompagnement dans la mise en conformité GDPR.

Nos experts ont développé un outil de diagnostic GDPR permettant de mesurer en 40 questions la maturité de votre organisation et d'évaluer votre exposition aux risques

Réalisez votre diagnostic !

Comprendre le règlement : les points clés

De la donnée personnelle au traitement : définitions

Toutes les données personnelles sont concernées, c’est-à-dire les éléments les plus communs (identité, numéro de sécurité sociale etc.), mais aussi des informations portant sur les  caractéristiques physiques, culturelles, sociales, jusqu’à des éléments comportementaux digitaux comme les adresses IP, les identifiants et mots de passe ou encore les habitudes de navigation Internet.

On définit par traitement de ces données, « toute opération- automatisée ou en partie, ou non automatisée – de données », tels que la collecte, l'enregistrement, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion mais aussi l'effacement ou la destruction.

Un champ d’application géographique étendu

Le règlement est applicable à toute organisation établie sur le territoire de l’Union Européenne (y compris si l’exploitation et le traitement des données sont réalisés depuis l’étranger), mais aussi à toute organisation en dehors de l’Union, traitant de données personnelles de ressortissants européens ou de personnes situées sur le territoire de l’Union.

Les piliers du nouveau règlement GDPR

Droit

L’objectif du règlement est de renforcer les droits des ressortissants en matière de maîtrise de leurs données. Cette maîtrise passe notamment par l’affirmation du droit d’accès à ses propres données, du droit à la portabilité (l’utilisateur récupère, de manière simple et lisible l’ensemble de ses données) et du droit à l’oubli (droit des consommateurs/clients de rectifier ou d’effacer leurs données).

Sécurité

Dans un environnement toujours plus sujet aux cyber-attaques, le règlement vise à renforcer les moyens et contrôles mis en œuvre pour garantir la confidentialité et la disponibilité des données (mesures adaptées aux risques et à la nature des données utilisées, pseudonymisation, cryptage etc.). L’entreprise doit également notifier dans les 72h à l’autorité de contrôle compétente toute violation des données à caractère personnel.

Garanties

L’entreprise doit être en mesure de prouver, par le biais d’une documentation permettant de justifier du déploiement des dispositifs adéquats, sa conformité au règlement. Au-delà de sa propre conformité, le règlement stipule l’obligation pour l’entreprise de garantir, en toute transparence, que le sous-traitant (y compris extra-Union) qui exploite certaines de ces données est en mesure de répondre aux obligations qu’il établit (contractualisation obligatoire dans une logique de coresponsabilité).

Qualité

Le règlement s’efforce également de garantir la qualité de l’exploitation des données à caractère personnel. Il définit comme licite, loyal et transparent le traitement de données réalisé avec le consentement des personnes concernées, et avec une finalité déterminée, explicite et légitime. Le traitement des données sera donc fait dans une optique de minimisation des données, en ce qui concerne leur exploitation et leur conservation dans le temps. L’entreprise doit également garantir l’exactitude (et éventuellement la mise à jour) des données, ou leur effacement immédiat.

 

 

Les risques à court terme pour votre organisation

Opérationnels

  • Suspension -voire suppression- de l’autorisation du traitement des données (CNIL)

Financiers

  • Jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial en amende administrative
  • Droit à réparation du préjudice matériel et moral potentiellement exercé par les victimes

Image

  • Impact sur l’image de marque et la réputation

Les clés du succès de votre projet GDPR

Impliquer les interlocuteurs clés

Dès le début du projet, le déploiement d’un tel programme avec un large champ d’actions doit impliquer, dans les proportions appropriées, les directions concernées et notamment :

  • Département juridique ;
  • DSI / Digital ;
  • Direction Financière ;
  • Direction des Ressources Humaines.

Identifier les grandes étapes du projet

Le déploiement d’un projet d’une telle envergure nécessite l’identification des étapes clés de votre programme de conformité, du diagnostic à la mise en application effective de la stratégie d’implémentation. Le dispositif de surveillance et de contrôle devra également être intégré à cette réflexion, afin de pérenniser votre programme de conformité GDPR.

Adopter une approche par les risques

Une approche par les risques vous permet de prioriser une démarche impact/probabilité efficace :

  • Ne traiter en priorité que les données critiques du périmètre ;
  • Mettre en œuvre une méthodologie adaptée axée sur le « nécessaire », au regard du règlement GDPR ;
  • S’appuyer sur des outils pour optimiser et renforcer la mise en place et le suivi dans le temps de la conformité à la règlementation. 

Développer une dynamique d’amélioration opérationnelle

Le nouveau règlement représente de nouvelles obligations pour votre entreprise, mais également l’opportunité pour votre organisation d’optimiser et de valoriser l’utilisation de vos données :

  • Minimisation de la collecte des données ;
  • Pilotage de la qualité des données personnelles ;
  • Rôles et responsabilités associés aux données ;
  • Dispositifs de sécurité IT ;
  • Urbanisation du Système d’Information, etc

Comment réussir sa mise en conformité GDPR ?

 

Retour en images sur les interventions de nos experts.

loading-player

Playback of this video is not currently available

Comment nous pouvons vous aider

PwC, grâce à ses experts pluridisciplinaires et son réseau international, vous accompagne à chaque étape du déploiement de votre programme GDPR :

  • Diagnostic et Gap Analysis, identification des risques ;
  • Analyse d’impact et établissement de la feuille de route ;
  • Définition des dispositifs de conformité et des modalités opérationnelles de déploiement ;
  • Pérennisation du programme de conformité. 

Des expertises complémentaires pour répondre aux différents enjeux GDPR

Juridique

Nos experts juridiques vous aident à :

  • Qualifier juridiquement le statut de l'organisation, des données ainsi que le régime juridique des activités de traitement associés
  • Structurer le registre des traitements
  • Effectuer les constats de conformité GDPR par apport aux exigences du Règlement
  • Revoir les documents contractuels (procédures, contrats, etc)

View more

Data Governance

Nos experts Data Gouvernance vous aident à :

  • Répertorier et localiser les données personnelles : clients, employés, fournisseurs, partenaires...
  • Cartographier les flux de données
  • Identifier les traitements
  • Contrôler la qualité et l'intégrité des données
  • Identifier les zones de progrès : gouvernance, organisation, IT en lien avec les données personnelles

View more

Cybersécurité

Nos experts Cybersécurité vous aident à :

Vérifier les mesures de sécurité IT

Identifier les risques non couverts et envisager les mesures de prévention

Intégrer le processus de data breach dans les processus existants de traitement des incidents de sécurité et de gestion de crise

Mettre en oeuvre les moyens techniques nécessaires à la préservation de la confidentialité, l'intégrité et la disponibilité des données personnelles

Contribuer à l'atteinte du Privacy by Design / Privacy by default

View more

Un réseau européen et mondial

Des experts sur le sujet à travers toute l’Europe et une présence mondiale permettant d’accompagner nos clients sur leurs différentes implantations géographiques dans l’UE et au-delà. 

PwC en direct

Actualités et plus

Contactez-nous

Jean-David Benassouli
Associé Data & Analytics, PwC France
Tel : +33 1 56 57 72 49
Email

Philippe Trouchaud
Associé Cybersécurité
Tel : +33 1 56 57 82 48
Email

Rémi Dusaud
Senior Manager Data Governance, PwC France
Tel : +33 1 56 57 51 53
Email

Sandrine Cullaffroz-Jover
Directeur Avocate spécialisée GDPR
Tel : +33 1 56 57 40 29
Email

Suivez-nous !
Enjeux Transformation digitale Aligner les coûts Expérience client Croissance Risques et croissance Transactions et valeur Cybersécurité et stratégie Innovation Confiance et transparence Transformer par l’humain Data Blockchain GDPR IFRS et Règles Françaises Experience Center Gouvernance
Besoins Audit Conseil Stratégie Transactions Gestion des risques Opérations financières, projets complexes Expertise comptable Operational Support (gestion déléguée) Gestion dématérialisée de la paie et des RH Litiges et investigations Investir à l'international Invest in France Juridique et fiscal Services aux entrepreneurs
Industries Aéronautique, défense et sécurité Assurance Automobile Banques et marchés de capitaux Distribution et biens de consommation Energies & Utilities Immobilier et hôtellerie Industries de santé Ingénierie et construction Médias et loisirs Private Equity Technologie Télécommunications Autres secteurs
Régions et marchés Région Hauts-de-France Région Grand-Ouest Région Sud-Ouest Région Sud Région Rhône-Alpes Bourgogne Région Est Afrique francophone
Pour aller plus loin PwC en bref Démarche RSE Décryptages Espace Presse Publications Evénements LEAD Academy Carrières Alumni

© 2012 - Thu Apr 19 10:01:28 EDT 2018 PwC. PwC. PricewaterhouseCoopers France et Pays Francophones d’Afrique. Tous droits réservés "PwC" fait référence au réseau PwC et/ou à une ou plusieurs de ses entités membres, dont chacune constitue une entité juridique distincte. Pour plus d'information, rendez-vous sur le site www.pwc.com/structure