RGPD Monaco : 4 choses à savoir - KPMG Monaco
close
Share with your friends
RGPD Monaco : 4 choses à savoir sur le Règlement général sur la protection des données

RGPD Monaco : 4 choses à savoir

RGPD Monaco : 4 choses à savoir

RGPD Monaco

4 choses à savoir sur le Règlement général sur la protection des données

Le Règlement Général sur la Protection des Données est entré en vigueur le 25 mai 2018 et s’impose à l’ensemble des sociétés qui traitent des données personnelles d’européens (clients, fournisseurs, employés, partenaires, etc…). Dans ce contexte, la mise en conformité des entreprises monégasques constitue un enjeu majeur du fait de leur proximité géographique et économique avec l’Union Européenne.

Le département Advisory de KPMG Monaco a créé une cellule dédiée « RGPD Monaco » axée sur des compétences techniques, juridiques et organisationnelles associées à une forte expertise métier afin d’assister les entreprises monégasques dans leur trajectoire de mise en conformité.

Voici les choses importantes à connaître concernant le RGPD à Monaco :

  1. Une règlementation complémentaire à la CCIN
  2. Les principales obligations du RGPD
  3. Une approche transverse à adopter
  4. La maîtrise des données au centre des enjeux de demain

1. Une réglementation complémentaire à la CCIN

La Principauté de Monaco dispose d’une réglementation propre en matière de protection des données, celle-ci s’articule autour de la Commission de Contrôle des Informations Nominatives (CCIN). Il s’agit d’une autorité administrative indépendante monégasque instituée par la loi n°1.165 du 23 décembre 1993.

La CCIN veille au respect des libertés et des droits des personnes dont on utilise les informations personnelles. Pour cela, l’ensemble des sociétés monégasques ont une obligation déclarative auprès de la CCIN pour chaque traitement de données effectué.

Le RGPD s’applique également aux sociétés monégasques, dans la mesure où elles traitent des données de citoyens européens, et dispose de ses propres obligations. A la différence de la CCIN, le RGPD oblige les sociétés non pas à déposer des déclarations auprès d’une autorité compétente mais à s’organiser en interne pour répondre aux exigences du règlement.

Si les deux régulations fonctionnent actuellement en parallèle, il est important de noter que la Principauté de Monaco prévoit de retranscrire le RGPD dans sa loi nationale d’ici la fin de l’année 2019. 

2. RGPD Monaco : Les principales obligations

Le RGPD introduit un certain nombre de nouvelles exigences législatives pour toutes les organisations qui traitent des données personnelles ou sensibles de citoyens européens. Quelques-unes des plus importantes sont décrites ci-dessous :

» Registre des traitements

Le registre des traitements constitue la pierre angulaire du RGPD, il répertorie l’ensemble des traitements de données réalisés par l’entité et fournit l’ensemble de leurs caractéristiques telles que :

  • Finalité du traitement ;
  • Nature des données collectées ;
  • Population objet du traitement ;
  • Modalité d’information des personnes concernées ;
  • Durée de conservation des données ;
  • Catégorie de personnes ayant accès au traitement au sein de l’entité ;
  • Lieu et dispositif de stockage des données ;
  • Dispositif de sécurisation.

» Délégué à la protection des données (DPD)

Selon le RGPD, la désignation d’un DPD est obligatoire dans certaines situations. Le DPD s’assure de la conformité de son entité au RGPD, il doit avoir une connaissance approfondie du règlement et des processus métiers opérés par l’entité tout en étant suffisamment indépendant dans l’exercice de sa fonction.

Le DPD peut également être mutualisé au sein d’un groupe ou externalisé.

» Représentant dans l’Union Européenne

Les entités non établies au sein de l’Union Européenne et qui entrent dans le champ d’application du RGPD en qualité de responsable de traitement, ont l’obligation de désigner un représentant au sein de l’Union Européenne.

Le représentant doit être établi dans un des états membres de l’UE dans lequel se trouvent les personnes physiques dont les données personnelles font l’objet du traitement. Le représentant RGPD doit être enregistré auprès l’autorité de régulation nationale en matière de protection des données personnelles du pays correspondant, par exemple la « CNIL » pour la France. C’est lui qui servira de courroie de transmission avec les autorités de contrôle en cas de vérification ou gestion des incidents.

Ce principe connaît des exceptions. L’obligation disparaît en particulier pour les traitements occasionnels, qui ne concernent pas une masse de données sensibles, sans risque pour les droits et libertés des personnes physiques.

» Gestion des nouveaux droits des citoyens européens

Le RGPD introduit de nouveaux droits aux citoyens européens et contraint de fait les sociétés qui traitent leurs données à s’organiser en interne pour les respecter. Ces nouveaux droits sont présentés synthétiquement ci-après :

  • Information préalable au traitement et consentement :

Les entités ont désormais l’obligation d’informer clairement les citoyens européens de l’utilisation qui sera faite de leurs données. De plus, dans le cas où l’entité collecterait plus de données qu’il ne lui en est strictement nécessaire afin d’exécuter le service qu’elle propose, celle-ci doit nécessairement obtenir le consentement des personnes concernées. Ce consentement doit être libre, spécifique, éclairé, et univoque.

  • Droit à l’oubli :

Les citoyens européens ont désormais la possibilité de demander à l’entité qui traite leurs données de les effacer et/ou de les anonymiser (sous réserve que l’entité en question ne dispose pas d’obligations légales de conservation de ces données).

  • Droit à la portabilité des données :

Dans le prolongement du droit à l’oubli, les citoyens européens disposent désormais de la possibilité de demander la restitution de l’ensemble de leurs données sur un support lisible.

» Sécurisation des données

Les entités concernées par le RGPD doivent être en capacité de démontrer qu’elles disposent des mesures techniques et organisationnelles appropriées pour protéger les données personnelles et que ces mesures sont continuellement revues et mises à jour.

Par ailleurs, des Analyses d’Impact relatives à la Protection des Données (AIPD) doivent être régulièrement menées pour les traitements susceptibles de conduire à des risques élevés par rapport à la confidentialité.

» Obligation de déclarer une violation des données

Le RGPD introduit l’obligation pour toute entité de notifier une violation de données dans un délai de 72 heures à l’autorité compétente.

Dans le cas d’une violation de données avec des risques élevés en termes de confidentialité, les personnes concernées doivent également être informées.

3. Une approche transverse à adopter

Compte tenu des éléments présentés précédemment, les projets de mise en conformité comportent des aspects à la fois organisationnels, juridiques et techniques qui font intervenir l’ensemble des départements des entreprises.

L’audit préalable des traitements de données réalisés ainsi que la détermination d’un plan d’action adapté constituent donc les étapes fondamentales à la réussite de la mise en conformité RGPD.

La conformité RGPD génère inévitablement des changements sur les processus internes (relation client, ressources humaines, systèmes informatiques, etc…) qu’il convient d’anticiper au mieux afin de gagner en efficacité opérationnelle. Dans ce contexte, la dimension de gestion de projet prend une place prépondérante.

4. La maîtrise des données au centre des enjeux de demain

A l’heure des réseaux sociaux et de la surabondance de la publicité intrusive, la sécurité et la saine gestion des données sont devenues des points d’attention extrêmement importants pour les consommateurs et un véritable enjeu réputationnel pour les entreprises.

Dans ce contexte, si le RGPD constitue un évènement marquant pour les droits des citoyens et les obligations des entreprises, il ne s’agit que de la première étape de la régulation liée à la gestion des données. A court terme, la mise en place de certifications officielles au regard du RGPD sont attendues de même que des précisions sur certains points précis du règlement.

Par ailleurs, des réflexions sont en cours en Europe et dans le monde afin de mieux encadrer la revente des données et la création de valeur au travers du Big Data.

5. Conclusion : des retours d’expérience positifs

KPMG accompagne un nombre important d’entités dans leur mise en conformité RGPD, les retours d’expériences montrent que 65% d’entreprises estiment que le RGPD a eu un impact positif sur leurs activités, notamment en terme d’image de marque, de relation clients et de processus opérationnels.

Nos missions consistent le plus souvent en de la gestion de projet et la réalisation de travaux spécifiques tes que :

  • L’identification et audit des traitements de données ;
  • La production des déclarations CCIN manquantes ou incomplètes ;
  • L’assistance à la nomination du DPD (si nécessaire) ;
  • La formation de votre personnel à ces nouvelles problématiques ;
  • L’établissement du registre des traitements RGPD ;
  • La conception de processus internes permettant de gérer les nouveaux droits accordés par le RGPD et la rédaction des procédures afférentes ;
  • La revue et la mise à niveau des mentions légales d’information ;
  • La réalisation d’analyses d’impacts.

Contactez KPMG Monaco pour plus d'information

KPMG GLD & Associés Monaco vous aide à relever les défis de votre groupe ou entreprise en matière de croissance, de gestion des risques et de gouvernance, incluant toutes les problématiques liées à la protection des données personnelles et au Règlement général sur la protection des données (RGPD).

Contactez-nous pour en savoir plus sur nos expertises et échanger sur vos besoins.

Nous contacter