News TECH IN France

L’AFAI, Le CIGREF et TECH IN France présentent la feuille de route de leur groupe de travail dédié aux données personnelles

Publié le December 22, 2016

Le 14 décembre, l’AFAI le CIGREF et TECH IN France ont présenté à leurs adhérents le cadre réglementaire régissant les données personnelles en Europe et à l’international avant d’introduire la feuille de route du groupe de travail commun, son objectif et ses échéances.

La matinée a débuté par une introduction de Régis Delayat, Vice-Président du Cigref, administrateur de l’AFAI et DSI de Scor, suivi par une présentation de l’environnement législatif des données personnelles par différents avocats. Fabrice Naftalski, EY, a présenté le socle réglementaire encadrant les données personnelles dans le monde, notamment les lignes directrices de l’OCDE, les directives européennes, l’accord d’Asie-Pacifique. Jean-Sébastien Mariez, De Gaulle Fleurance & associés, a exposé les enjeux du GDPR à travers le renforcement des droits pour les citoyens européens et la responsabilité étendue du responsable de traitement et du sous-traitant. Edouard Geffray, secrétaire général de la CNIL, a partagé avec l’auditoire la perspective du régulateur.

Edouard Geffray a ainsi précisé la nécessité pour chaque entreprise de mettre en place un Data Privacy Officer (DPO), que ce soit obligatoire ou non, dès lors que l’entreprise traite de la donnée.  Concernant la notification des failles, un vrai changement de process va s’opérer qui demande une vigilance accrue de la part des opérateurs. Il explique également que la cyber sécurité est un enjeu majeur actuellement. En moyenne, une entreprise met 240 jours à se rendre compte d’une faille de sécurité et dans 85 % des cas, la CNIL a été amenée à faire des recommandations voire des mises en demeure. Il a par ailleurs précisé que les membres du G29 préparaient des lignes directrices sur différents aspects du GDPR (portabilité, certification…) et qu’une première partie serait publiée d’ici la fin de l’année.

Afin d’échanger sur la préparation des entreprises sur l’implémentation du GDPR, Fabrice Naftalski, EY ; Fenitra Ravelomanantsoa, Axa ; et Jawaher Allala, Systnaps, étaient réunis autour d’une table ronde pour échanger pour exposer le point de vue de l’éditeur, de l’entreprise utilisatrice et de l’auditeur.  Tous se sont accordés sur l’importance d’anticiper l’entrée en application du GDPR le 25 mai 2018 en mettant en place dès à présent un DPO et des BCR (Binding Corporate Rules). Les intervenants ont souligné qu’être conforme en amont de l’entrée en application du texte est un levier concurrentiel fort.  Par ailleurs, ils ont rappelé que la mise en place de BCR n’est pas obligatoire, mais que cela joue un vrai rôle d’accélérateur dans la perspective d’être en conformité avec le Règlement européen sur les données personnelles.

Pour conclure, Stanislas de Rémur, Vice-Président de TECH IN France et Président d’Oodrive, a présenté la feuille de la route du groupe de travail commun. Un Comité de pilotage constitué des représentants des trois associations sera chargé de superviser et coordonner la synthèse des travaux, et trois sous-groupes de travail réunissant les adhérents des différentes associations travailleront sur des thèmes précis permettant la mise en place opérationnelle du Règlement. La parution des livrables est prévue à l’autonome 2017.