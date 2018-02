Le règlement européen en matière de protection des données à caractère personnel, mieux connu sous son acronyme anglais GDPR, entre en vigueur le 25 mai 2018.

Xavier Darmstaedter, Partner GeDaPRe

Nicolas Roland, Partner Younity

Le GDPR définit davantage les droits des personnes sur leurs données personnelles, et impose de protéger ces données personnelles. Ainsi, le GDPR impose à tout qui traite ces données, en ce compris les organismes publics, de gérer adéquatement les risques de violation de ces données, notamment par la mise en place de "mesures techniques et organisationnelles appropriées".

La question des "risques" soulève celle d’une police d’assurance correspondante. En l’occurrence, savez-vous si, aujourd’hui, vous êtes assuré contre les risques liés aux données à caractère personnel que vous traitez (clients, employés, fournisseurs, etc.)? Ces risques sont probablement couverts par votre police d’assurance "risques d’exploitation". Mais qu’en sera-t-il après le 25 mai? Avez-vous déjà interrogé votre assureur à ce sujet ? La question n’est pas anodine puisque le GDPR prévoit des sanctions sévères en cas de non-respect de ses dispositions, notamment la possibilité d’infliger une "amende administrative" pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Alors, jusqu’où votre assureur est-il prêt à intervenir, et connaissez-vous les risques couverts ainsi que votre prime et ses modalités de calcul? Si vous avez adopté toutes les "mesures techniques et organisationnelles appropriées", cela devrait en principe réduire le risque résiduel à un niveau acceptable, et ainsi le montant de votre prime. Mais comment le vérifier ?

Certes, le GDPR encourage la certification ainsi que l’adhésion à des codes de conduite, comme celui récemment adopté par les fournisseurs de services cloud, mais cela constitue-t-il une bonne base pour la fixation des garanties et des primes, et une gestion idoine des sinistres? Xavier Darmstaedter et Nicolas Roland

Et puis, comment les compagnies d’assurances évalueront-elles ce risque résiduel de façon objective, tant en ce qui vous concerne que vis-à-vis des tiers à qui vous confiez tout ou une partie de ces données (par exemple la gestion des salaires de vos employés)? Certes, le GDPR encourage la certification ainsi que l’adhésion à des codes de conduite, comme celui récemment adopté par les fournisseurs de services cloud, mais cela constitue-t-il une bonne base pour la fixation des garanties et des primes, et une gestion idoine des sinistres? Au demeurant, il est à craindre que cette police d’assurances ne couvrirait qu’une partie des risques auxquels vous seriez exposé, puisque les amendes administratives du GDPR ne seraient en principe pas assurables.

Donc, une bonne gestion de vos risques est plus que nécessaire: non seulement cela renforcera vos processus internes, mais elle influencera favorablement le montant de vos primes d’assurance.

Concrètement, comment faire pour réduire les risques à un niveau résiduel acceptable? Il est notamment fait état d’une gestion éprouvée des accès et des incidents, ainsi qu’une sensibilisation accrue de vos collaborateurs à la protection des données à caractère personnel, et l’adoption de standards internationaux, tels que la norme ISO 27001.

Le niveau d’exigence attendu d’une entreprise qui ne traite que des données dites "ordinaires" (p.ex. nom et adresse), sera en principe moindre que celle qui traite des données dites "sensibles" (p.ex. concernant la santé ou les opinions politiques). Xavier Darmstaedter et Nicolas Roland

Et puis, le cas échéant et quelles que soient les mesures adoptées, il sera nécessaire de démontrer tous les efforts qui ont été entrepris pour évaluer et réduire ces risques, d’où l’importance de bien les documenter et de répéter régulièrement cet exercice d’évaluation.

Cela étant, cette gestion des risques et cette implémentation de mesures techniques et organisationnelles "appropriées" seront aussi fonction de chaque cas d’espèce: ainsi, par exemple, le niveau d’exigence attendu d’une entreprise qui ne traite que des données dites "ordinaires" (p.ex. nom et adresse), sera en principe moindre que celle qui traite des données dites "sensibles" (p.ex. concernant la santé ou les opinions politiques). De même, par rapport aux risques et à la nature des données à protéger, le GDPR indique qu’il sera tenu compte "de l'état des connaissances et des coûts de mise en œuvre", lesquels peuvent diverger selon qu’il s’agisse d’une TPE ou d’une multinationale par exemple.