A partir du 25 mai 2018, le règlement général sur la protection des données rentre en vigueur. Cette réglementation vise à renforcer le contrôle des utilisateurs sur leurs données personnelles et à sanctionner les entreprises qui ne mettrait pas en place un traitement approprié des données. L’Ordre des experts-comptables a publié en mars 2018 un Guide pratique sur « La protection des données personnelles à l’usage des experts-comptables1 ». Nous vous invitons à le parcourir car il est riche d’information pour votre cabinet et vos clients. Pour compléter ce guide porté sur la règlementation et sa mise en œuvre, nous vous proposons le regard croisé de deux acteurs : Stéphane d’ACREMONT de la société Change4win (C) startup spécialisée sur l’organisation des entreprises, identifiée comme l’une des 50 startup à suivre par le Hub Institute lors du salon Vivatech 2017 et Olus KAYACAN de Governance.com (G), l’une des 10 « Hot 10 Fintechs 20172 » à suivre…
Quelles sont les origines de cette règlementation ?
Stéphane d’ACREMONT : La nouvelle règlementation Européenne a été élaborée à partir en 2014 dans le contexte particulier de l’affaire Google. La Cour de Justice de l’Union Européenne a permis aux internautes Européens d’exercer leur droit à l’oubli sur Internet.
Cette règlementation a été renforcée en 2015 à la suite de l’accès aux données des citoyens Européens par la NSA3.
Il s’agit donc d’un texte sans compromis, applicable à toute société qui traite des données personnelles de citoyens Européens.
Quel est l’objectif de la règlementation pour les entreprises ?
Stéphane d’ACREMONT : La règlementation a pour objectif d’harmoniser les règlementations entre les pays Européens, de s’assurer que les données à caractère personnel sont traitées et manipulées avec précaution, de manière sécurisée.
Elle accroît les droits des individus quant à la gestion de leurs données personnelles : droit à l’oubli, droit sur le référencement, droit sur la portabilité des données…
Cette règlementation va modifier l’utilisation des cookies, des pratiques commerciales et marketing telles que le profilage, retargeting ou le tracking comportemental. Toutes les informations personnelles y compris les données professionnelles sont concernées par cette règlementation.
Pensez-vous que l’expert-comptable à un rôle à jouer ?
Olus KAYACAN : Les experts-comptables ont, de part leur fonction, accès à des données privées et sensibles sur les personnes physiques. Ils/elles jouent donc un rôle clé sur la façon de traiter, gérer et stocker ces données.
En tant que responsables de ces données, il est impératif pour eux de compter sur des systèmes de gestion de données efficaces.
Comment s’assurer que les entreprises et les cabinets respectent les règles établies par cette nouvelle règlementation ?
Stéphane d’ACREMONT : Lors de la mise en place, il est nécessaire d’effectuer une évaluation vis-à-vis de chacune des obligations de la règlementation qui s’appliquent à l’entreprise en fonction de ses caractéristiques et une analyse de risque. Cette évaluation va permettre d’effectuer un plan d’actions de mise en conformité.
Après la mise en conformité, l’entreprise doit effectuer des contrôles sur les impacts, c’est-à-dire, la bonne réalisation des activités récurrentes comprenant la tenue des registres, et le
suivi des règles précisées dans les procédures par les opérationnelles.
Quelles sont les principales difficultés des entreprises ?
Olus KAYACAN : Il est impératif pour les entreprises de procéder à une véritable introspection sur leur gestion de données.
Elles doivent identifier leurs flux d’information, les données sensibles et personnelles qu’elles détiennent et se demander si elles sont nécessaires pour la bonne conduite de leur business.
Dans l’affirmative, les données privées et sensibles doivent être sauvegardées de manière optimale.
Quels conseils donneriez-vous à des personnes devant se mettre en conformité ?
Olus KAYACAN : GDPR est une législation complète et complexe. Ne rien faire n’est pas une option vu les sanctions potentielles. Il est vital pour les personnes en charge du contrôle des informations, tels les experts-comptables, de travailler avec des systèmes de processing efficaces. La bonne nouvelle est que des solutions optimales et démocratiques existent grâce à l’émergence de regtech (Regulatory technology)qui permettent de gérer et sécuriser les données de manière dynamique.
Quelle mesure avez-vous pris pour vous mettre en conformit avec le règlement ?
Olus KAYACAN : En tant que regtech, nous sommes doublement confrontés au GDPR. Tout d’abord par rapport aux données au sein de notre organisation et en tant que fournisseur d’une solution optimale de gestion de données.
Nous avons identifié les sources d’information et opéré un tri sur les données à garder ou non. La prochaine étape est la mise en place de procédure d’information des personnes quant
à leur droit à l’oubli, reporting et sécurisation de leurs données.
Ces procédures sont en phase de finalisation et seront mises en place pour l’entrée en vigueur du GDPR.
Le respect de la règlementation concernant la gestion des données est également une opportunité pour les experts-comptables de développer de nouvelles missions, notamment
de formation.
Nous vous remercions pour cet échange.
Crédit @Freepik
