15Jan2018

Codes de conduite, certifications et labels européens : trois piliers pour sécuriser dans la durée une stratégie dans la donnée

Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur dans tous les pays européens le 25 mai 2018. Ce texte crée un cadre harmonisé des règles en matière de protection des données personnelles dans l’Union européenne. Le Règlement introduit une obligation pour les entreprises de mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer que les traitements des données à caractère personnel sont effectués conformément au règlement, et être en mesure de le démontrer.

A l’approche de l’échéance du 25 mai 2018, la plupart des entreprises ont commencé à se mettre en conformité et à faire évoluer leurs processus interne. Mais au-delà de cette mise en conformité à court termes, les entreprises souhaitant développer une réelle stratégie dans l’utilisation de la donnée personnelle dans les années à venir ont à disposition des mécanismes et instruments leur permettant de sécuriser leurs projets.

En effet, le RGPD ne se contente pas de créer de nouvelles obligations. Il prévoit également de nouvelles méthodologies à destination des responsables de traitement et de leurs sous-traitants permettant de démontrer leur pratique vertueuse. Le RGPD crée la possibilité de créer des Codes de Conduite ou des mécanismes de certification approuvés pouvant être servir d’élément pour démontrer le respect des obligations incombant à l’entreprise. Ces éléments de preuve sont opposables à l’autorité de contrôle et permettent aux entreprises d’envisager de développer sereinement une stratégie dans l’utilisation de la donnée personnelle.
La mise en place de Codes de conduite, Certifications ou de Labels européens permettra aux entreprises d’obtenir un avantage concurrentiel et compétitif au sein de l’ensemble de leur écosystème (prestataires, clients, fournisseurs, partenaires, sous-traitants…).

Premiers retours d’expérience

L’élaboration de Codes de Conduites, de Certifications et de Labels ayant une valeur opposable sont strictement encadrés par les articles 40 à 43 du Règlement. Le retour d’expérience lié à l’élaboration récente du Code de Conduite sur la gestion des données personnelles pour les applications d’eSanté a permis de tester ces mécanismes formels. Ce Code de conduite a précisé les modalités d’applications du RGPD compte tenu des spécificités des applications de eSanté. Une fois rédigé, il a été présenté pour approbation à l’autorité de contrôle européenne et à la Commission européenne. Une fois approuvés, le Code de conduite sera enregistré et rendu public et sur décision de la Commission européenne pourra être considéré comme d’application générale au sein de l’Union Européenne.

Les entreprises avec une stratégie dans l’utilisation de la donnée personnelle et souhaitant mettre en place et valoriser une démarche vertueuse leur permettant de sécuriser leurs opérations futures et se prémunir des risques peuvent déjà tirer parti des premiers retours d’expérience au niveau européen. La démarche de mise en place de Codes de Conduite et de mécanismes de certification présente quelques contraintes mais qui sont peu de choses par rapport à la sécurité et à l’avantage concurrentiel apporté.

Photo : Descrier