RGPD - Règlement Général sur la Protection des Données

Comprendre le Règlement européen sur la protection des données personnelles et s'y conformer

Quel est le niveau de maturité des entreprises françaises ?

La crise que nous traversons en 2020 fait ressurgir plus que jamais les enjeux de protection des données personnelles. Deux ans après la mise en application du Règlement, les entreprises françaises ont mis en place des outils et des process formalisés, en matière de protection des droits des personnes et de protection des données à caractère personnel. Il leur reste cependant du chemin à parcourir pour atteindre une maturité des pratiques. 

PwC a mené une enquête afin d'évaluer la maturité des entreprises françaises, basée sur 8 piliers définis de mise en conformité au Règlement.

Découvrez les chiffres clés de l'enquête et les bonnes pratiques !

Je souhaite recevoir la synthèse

Le saviez-vous?

82 % des entreprises françaises ont déclaré avoir mis en place des actions pour sensibiliser et former leurs collaborateurs au RGPD

Une évolution majeure et nécessaire dans la gestion des données personnelles à l'échelle européenne

Infographie GDPR les 10 principaux chantiers à mener lors d'une mise en conformité

Depuis sa mise en application le 25 mai 2018, le « General Data Protection Regulation » (GDPR) ou Règlement général sur la protection des données (RGPD) constitue la plus importante et nécessaire évolution dans la gestion des données personnelles à l’échelle européenne. Elle reflète en effet les préoccupations croissantes des citoyens européens en matière de confidentialité et de protection de leurs données.

Au-delà des nouvelles obligations qu’il impose, ce Règlement représente également une formidable opportunité de transformer l’approche de votre entreprise en matière de confidentialité des données, de renforcer la valeur et l’exploitation de vos données et enfin de s’assurer que votre organisation est prête pour l’économie digitale.

Quels sont les chantiers à mener pour être en conformité ?

Découvrez les 10 principaux chantiers

« Depuis l'entrée en vigueur du Règlement nous constatons une évolution des besoins de nos clients : les demandes s’orientent désormais sur la conformité des projets de transformation digitale liés par exemple aux nouveaux sites web, applications mobiles, objets connectés, des études d'impact, les formations, la revue de certains contrats (notamment avec des sous-traitants), ou encore sur le traitement des demandes d'accès. »

Jean-David Benassouli, Associé Data & Analytics, PwC France

Quels sont les axes majeurs du règlement RGPD ?

Droit

L’objectif du règlement est de renforcer les droits des ressortissants en matière de maîtrise de leurs données. Cette maîtrise passe notamment par l’affirmation du droit d’accès à ses propres données, du droit à la portabilité (l’utilisateur récupère, de manière simple et lisible l’ensemble de ses données) et du droit à l’oubli (droit des consommateurs/clients de rectifier ou d’effacer leurs données).

View more

Sécurité

Dans un environnement toujours plus sujet aux cyber-attaques, le règlement vise à renforcer les moyens et contrôles mis en œuvre pour garantir la confidentialité et la disponibilité des données (mesures adaptées aux risques et à la nature des données utilisées, pseudonymisation, cryptage etc.). L’entreprise doit également notifier dans les 72h à l’autorité de contrôle compétente toute violation des données à caractère personnel.

View more

Garanties

L’entreprise doit être en mesure de prouver, par le biais d’une documentation permettant de justifier du déploiement des dispositifs adéquats, sa conformité au règlement. Au-delà de sa propre conformité, le règlement stipule l’obligation pour l’entreprise de garantir, en toute transparence, que le sous-traitant (y compris extra-Union) qui exploite certaines de ces données est en mesure de répondre aux obligations qu’il établit (contractualisation obligatoire dans une logique de coresponsabilité).

View more

Qualité

Le règlement s’efforce également de garantir la qualité de l’exploitation des données à caractère personnel. Il définit comme licite, loyal et transparent le traitement de données réalisé avec le consentement des personnes concernées, et avec une finalité déterminée, explicite et légitime. Le traitement des données sera donc fait dans une optique de minimisation des données, en ce qui concerne leur exploitation et leur conservation dans le temps. L’entreprise doit également garantir l’exactitude (et éventuellement la mise à jour) des données, ou leur effacement immédiat.

View more

Les risques pour votre organisation

Opérationnels

  • Suspension -voire suppression- de l’autorisation du traitement des données (CNIL)

Financiers

  • Jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial en amende administrative
  • Droit à réparation du préjudice matériel et moral potentiellement exercé par les victimes

Image

  • Impact sur l’image de marque et la réputation

Les clés du succès de votre projet RGPD

Impliquer les interlocuteurs clés

Dès le début du projet, le déploiement d’un tel programme avec un large champ d’actions doit impliquer, dans les proportions appropriées, les directions concernées et notamment :

  • Juridique ;
  • DSI / Digital ;
  • Marketing & Ventes ;
  • Sécurité (RSSI) ;
  • Risque et compliance ;
  • Ressources Humaines ;
  • Contrôle interne.

Identifier les grandes étapes du projet

Le déploiement d’un projet d’une telle envergure nécessite l’identification des étapes clés de votre programme de conformité : la réalisation d’un diagnostic en parallèle du parcours de mise en conformité puis la définition d’un dispositif de surveillance et de contrôle permettant de pérenniser votre programme de conformité RGPD.

Adopter une approche par les risques et par les processus

Une approche par les risques vous permet de prioriser une démarche impact/probabilité efficace :

  • Ne traiter en priorité que les données et traitements critiques du périmètre ;
  • Mettre en œuvre une méthodologie adaptée axée sur le « nécessaire », au regard du règlement GDPR ;
  • Identifier les macro-processus puis les processus métiers ;
  • S’appuyer sur des outils pour optimiser et renforcer la mise en place et le suivi dans le temps de la conformité à la règlementation. 

Développer une dynamique d’amélioration opérationnelle

Le nouveau règlement représente de nouvelles obligations pour votre entreprise, mais également l’opportunité pour votre organisation d’optimiser et de valoriser l’utilisation de vos données :

  • Minimisation de la collecte des données ;
  • Pilotage de la qualité des données personnelles ;
  • Rôles et responsabilités associés aux données ;
  • Dispositifs de sécurité IT ;
  • Urbanisation du Système d’Information, etc

Des expertises complémentaires et un réseau international pour répondre aux différents enjeux RGPD

Juridique

Nos experts juridiques vous aident à :

  • Qualifier juridiquement le statut de l'organisation, des données ainsi que le régime juridique des activités de traitement associés
  • Structurer le registre des traitements
  • Effectuer les constats de conformité RGPD par apport aux exigences du Règlement
  • Revoir les documents contractuels (procédures, contrats, etc)

View more

Data Governance

Nos experts Data Gouvernance vous aident à :

  • Répertorier et localiser les données personnelles : clients, employés, fournisseurs, partenaires...
  • Cartographier les flux de données
  • Identifier les traitements
  • Contrôler la qualité et l'intégrité des données
  • Identifier les zones de progrès : gouvernance, organisation, IT en lien avec les données personnelles

View more

Cybersécurité

Nos experts Cybersécurité vous aident à :

  • Vérifier les mesures de sécurité IT
  • Identifier les risques non couverts et envisager les mesures de prévention
  • Intégrer le processus de data breach dans les processus existants de traitement des incidents de sécurité et de gestion de crise
  • Mettre en oeuvre les moyens techniques nécessaires à la préservation de la confidentialité, l'intégrité et la disponibilité des données personnelles
  • Contribuer à l'atteinte du Privacy by Design / Privacy by default

View more

Un réseau européen et mondial

Des experts sur le sujet à travers toute l’Europe et une présence mondiale permettant d’accompagner nos clients sur leurs différentes implantations géographiques dans l’UE et au-delà. 

View more

Nos rendez-vous

PwC organise des petits déjeuners trimestriels afin d’échanger avec ses clients sur le RGPD et ses applications concrètes. C'est l’occasion de partager des retours d’expérience et d’évoquer les problématiques rencontrées sur le terrain (exemple : RGPD et Ressources Humaines, pilotage du programme de conformité Groupe/Filiale, gestion des sous-traitants...). 

Les participants qui le souhaitent peuvent prendre la parole afin d'apporter leurs témoignages. Les échanges se poursuivent ensuite de manière informelle lors de la session dédiée au networking.

Contactez-nous

Jean-David Benassouli

Jean-David Benassouli

Associé responsable de l’activité Data Analytics et Intelligence Artificielle, PwC France

Tel : +33 1 56 57 72 49

Philippe Trouchaud

Philippe Trouchaud

Associé Cybersécurité, PwC France

Tel : +33 1 56 57 82 48

Sandrine Cullaffroz-Jover

Sandrine Cullaffroz-Jover

Directeur Avocate spécialisée RGPD, PwC France

Tel : +33 1 56 57 40 29

Suivez-nous !
Masquer