Le règlement général sur la protection des données : quelles opportunités pour les entreprises françaises ?

Auteur(s) moral(aux) : Conseil général de l'économie, de l'industrie, de l'énergie et des technologies

Pour lire les formats PDF et ePub vous avez besoin d’un lecteur adapté.

Présentation

Depuis le 25 mai 2018, le règlement général sur la protection des données personnelles (RGPD) détermine et harmonise, à l’échelle européenne, les contours de la protection des personnes physiques à l'égard du traitement des données à caractère personnel. En analysant des expériences d’entreprises de tailles variées, dans deux secteurs très réglementés, la finance et la santé, le Conseil général de l’économie (CGE) a formulé des recommandations visant à ce que les entreprises françaises tirent le meilleur profit du RGPD. Ces dernières semblent en effet souvent réticentes à entrer dans la logique introduite par le RGPD qui offre une plus grande flexibilité, mais avec des responsabilités et des sanctions accrues. Les entretiens menés par le CGE font apparaître que les pleins bénéfices du nouveau règlement supposent une clarification, par la voie du droit souple (« soft law ») et par la mise en œuvre du mécanisme de cohérence prévu par le règlement, de notions ou de principes parfois ambigus, susceptibles d’interprétations diverses au sein de l’Union européenne. Il conviendrait par exemple de clarifier dans quelle mesure l’intérêt légitime d’une entreprise justifie, dans une phase de recherche et développement, qu’elle procède de son propre chef à des traitements de données personnelles à des fins d’amélioration de son offre. Plusieurs recommandations sectorielles sont également proposées, telles qu’une meilleure articulation entre le droit européen et le droit national à l’égard des données de santé ou une levée du secret entre l’Autorité de contrôle prudentiel et de résolution (ACPR) et la CNIL. 

Revenir à la navigation

Sommaire

SYNTHESE
TABLE DES RECOMMANDATIONS

1 Les enjeux du RGPD

1.1 Les objectifs, les grands principes et la démarche générale de la Commission

1.2 Les principales dispositions du RGPD
1.2.1 L’applicabilité du cadre juridique
1.2.2 Les principes du traitement des données à caractère personnel
1.2.3 Les droits issus du RGPD

1.3 La loi « protection des données personnelles » du 20 juin 2018 et l’ordonnance du 12 décembre 2018

1.4 Le RGPD, source de risques et vecteur d’opportunités
1.4.1 Toutes les entreprises ne sont pas égales face à l’application du RGPD
1.4.2 Toutefois, le RGPD peut être créateur de croissance

1.5 L’harmonisation européenne

2 Des difficultés générales

2.1 L’effacement des données et la portabilité constituent des droits nouveaux et coûteux à mettre en œuvre
2.1.1 Le droit d’accès ne soulève pas de difficulté nouvelle
2.1.2 Le droit à l’effacement, une préoccupation des consommateurs
2.1.2.1 Un droit difficile à mettre en œuvre, mais prisé par une partie des consommateurs
2.1.2.2 …et une éventuelle opportunité

2.1.3 Le droit à la portabilité : des difficultés de mise en œuvre et des interrogations
2.1.3.1 Le droit à la portabilité est lourd à mettre en place
2.1.3.2 …mais il peut représenter un enjeu d’ouverture des marchés

2.2 Les écueils liés au recueil du consentement, notamment dans le cas des traitements liés à la recherche et développement (R&D)
2.2.1 Le recueil du consentement de la personne peut représenter un obstacle
2.2.2 L’intérêt légitime et l’exécution du contrat, des dérogations trop vagues au recueil du consentement
2.2.3 Les modalités de recueil de consentements peuvent faire obstacle à l’innovation

2.3 La gestion des durées de conservation
2.3.1 L’articulation du RGPD avec d’autres obligations légales concernant les durées de conservation est un faux problème
2.3.2 La gestion du stock de données antérieures au 25 mai 2018 a pu être une source de difficultés

2.4 L’obligation de déclarer les failles du système d’information (SI)
2.4.1 La sécurité, une difficile nécessité
2.4.1.1 Si les objectifs sont clairs, des zones d’ombres subsistent quant aux moyens à mettre en œuvre
2.4.1.2 Un chantier laborieux

2.4.2 …mais un enjeu vital considéré comme tel

2.5 Les relations avec les sous-traitants
2.5.1 Une difficulté à caractériser et le statut des sous-traitants
2.5.1.1 Une interdépendance nouvelle des acteurs
2.5.1.2 Des obligations parfois problématiques

2.5.2 Les moyens d’encadrer au mieux les relations de sous-traitance
2.5.2.1 Les clauses contractuelles types
2.5.2.2 Les règles d’entreprise contraignantes (ou « binding corporate rules »), un outil au service de la conformité

2.6 Le traitement des données liées aux relations de travail
2.6.1 Un cas d’école pour l’application du nouveau règlement
2.6.2 Des impacts limités sur les pratiques des services de ressources humaines

2.7 Les PME/TPE : une difficulté économique et un manque d’information
2.7.1 Au même titre que les autres entreprises, les PME/TPE sont concernées par le RGPD
2.7.2 Il existe cependant des spécificités propres aux PME/TPE, notamment en ce qui concerne le registre de traitement
2.7.3 Faire de ces spécificités des opportunités ?

3 Le secteur de la santé

3.1 Donnée personnelle ,,,,,,, donnée de santé

3.2 Des données d’origines diverses et de valeurs différentes selon les contextes
3.2.1 La valeur pour la recherche
3.2.2 La valeur clinique, nécessairement nominative
3.2.3 La valeur citoyenne

3.3 Le RGPD, soutien de la dynamique de croissance des industries de santé
3.3.1 Une dynamique portée par de puissants leviers
3.3.2 Une valorisation de la donnée de santé possible grâce au RGPD malgré ses limites
3.3.3 Une ambivalence de la donnée de santé qui appelle la responsabilité des entreprises
3.3.4 L’étude d’impact, notamment, laisse aux industriels de santé le soin de définir conditions, risques et bénéfices attendus
3.3.5 Toutefois, le manque de définition de la donnée de santé limite la portée du RGPD

3.4 Valoriser les données de santé : un cas d’usage
3.4.1 La valeur pour la maintenance et la traçabilité des produits de santé
3.4.2 La création de valeur pour l’industrie autour de la donnée clinique Mission CGE sur le RGPD 5
3.4.2.1 La valeur clinique d’une donnée n’existe qu’entre les mains du clinicien
3.4.2.2 La donnée clinique peut cependant s’échanger avec d’autres acteurs

3.4.3 Valoriser des données anonymisées

3.5 Cette complexité renvoie à des questions juridiques également spécifiques, parfois non résolues
3.5.1 Certaines questions spécifiques s’inscrivent dans le cadre du RGPD
3.5.1.1 La protection du citoyen-patient : articulation RGPD et Loi Informatique et Liberté
3.5.1.2 La matériovigilance

3.5.2 D’autres peuvent être résolues moyennant des dispositions complémentaires
3.5.2.1 La pseudonymisation
3.5.2.2 Accéder aux données nominatives : exemple du médecin hébergeur
3.5.2.3 La responsabilité médicale des traitements

3.5.3 D’autres enfin nécessitent de nouvelles règles
3.5.3.1 Une nécessaire clarification de la donnée de santé et des textes auxquels se référer (Code de la Santé Publique versus RGPD)
3.5.4 Cette création de nouvelles règles peut échapper au droit positif

3.6 Conclusion

4 La mise en oeuvre du RGPD dans les services financiers

4.1 Les travaux de mise en conformité
4.2 Les interactions entre le RGPD et la DSP2
4.3 Les relations entre donneurs d’ordre et sous-traitants
4.4 La coopération entre l’ACPR et la CNIL

5 Quelles nouvelles activités économiques apparaissent ?

5.1 Certaines activités existent en accompagnement du RGPD
5.1.1 Les conseils juridiques et informatiques
5.1.2 La mutualisation des DPO
5.1.3 Les formations et la sensibilisation au RGPD

5.2 Mais le RGPD permet aussi le développement de nouvelles activités
5.2.1 La sécurisation des données
5.2.2 L’anonymisation des données à caractère personnel
5.2.3 La création de bases de données d’intérêt général ou « hub de données »
5.2.4 L’automatisation de la collecte des données et de la suppression des données

5.3 Standards, labels et certifications
5.3.1 Les standards de portabilité
5.3.2 Certifications et accréditations

ANNEXES
Annexe 1 : Lettre de mission
Annexe 2 : Liste des acronymes utilisés
Annexe 3 : Liste des personnes rencontrées ou interrogées
Annexe 4 : Les droits fondamentaux issus du RGPD
Annexe 5 : Les « marges de manoeuvre » autorisées par le RGPD
Annexe 6 : Durées de conservation des données à caractère personnel
Annexe 7 : La gestion des documents papiers
Annexe 8 : Le registre de traitement des données à caractère personnel

Revenir à la navigation

Fiche technique

Type de document : Rapport d'étude

Pagination : 87 pages

Édité par : Ministère de l'économie et des finances

Collection :

Revenir à la navigation