Données personnelles : l’Afai, le Cigref et Tech in France planchent sur le règlement de l’UE

Reynald Fléchaux,

Les associations regroupant les DSI de grandes organisations, les auditeurs et les éditeurs de logiciels créent un groupe de travail commun pour réfléchir aux conséquences du règlement européen sur les données personnelles.

Mise à jour le 24/10 (citation Tech in France) à 12h05

Trois associations professionnelles – l’Afai (les auditeurs), le Cigref (qui représente les DSI des grandes entreprises françaises) et Tech in France (les éditeurs de logiciel) – lancent une réflexion commune sur la question des données personnelles. Cette analyse, qui passe par la création d’un groupe de travail dont les conclusions sont attendues à l’automne 2017, s’inscrit dans la perspective de la nouvelle réglementation européenne sur le sujet, qui va entrer en vigueur en mai 2018. « Les travaux doivent débuter dans les jours qui viennent, précise Henri d’Agrain, le délégué général adjoint du Cigref. Leur cadencement sera cohérent avec le plan d’implémentation du règlement au sein des grandes entreprises. »

Rappelons que ce règlement général sur la protection des données (RGPD)  introduit de nouveaux droits pour les citoyens européens, comme celui relatif à la portabilité des données, mais aussi de nouvelles obligations pour les entreprises et leurs sous-traitants (comme la notification de toute violation à la CNIL). Et le texte renforce très nettement les sanctions à l’encontre des sociétés prises en flagrant délit de violation des règles (avec des amendes administratives pouvant s’élever de 2 à 4 % du chiffre d’affaires annuel mondial de l’entreprise concernée).

Réfléchir au « privacy by design »

henry d'agrain
Henri d’Agrain deviendra délégué général du Cigref en janvier prochain.

Les travaux des trois associations visent à « simplifier l’appréhension des règlementations par les entreprises », précisent l’Afai, le Cigref et Tech in France. « Cette initiative inédite, qui réunit tous les acteurs concernés, va nous permettre de définir les bonnes pratiques et de garantir une meilleure visibilité stratégique aux utilisateurs, comme aux fournisseurs que nous représentons », dit Loïc Rivière, le délégué général de Tech in France.

Un groupe de travail conjoint, chargé de réfléchir à l’architecture des services génériques embarquant des données personnelles, devra émettre des recommandations afin de faciliter le travail d’implémentation des DSI et éditeurs de logiciels. « C’est pourquoi il nous paraissait utile de joindre nos efforts, dit Henri d’Agrain. Car les sujets sur lesquels il va falloir travailler sont multiples : IT, juridique, RH, marketing, relations avec les fournisseurs… »

Rappelons que le règlement européen, voté en avril dernier, s’il allège les obligations de déclaration préalable aux traitements de données personnelles, introduit la notion de « privacy by design ». Autrement dit la protection des données personnelles doit être embarquée dans l’application elle-même. « Les spécifications mêmes des applications qui traitent les données et leurs procédures d’exploitation devront prendre en compte les règles de protection des données personnelles édictées par le Règlement », écrivaient ainsi en mai dernier les avocats Stéphanie Foulgoc et Etienne Papin du cabinet Féral-Schuhl / Sainte-Marie.

Le groupe de travail de l’Afai, du Cigref et de Tech in France (l’ex-Afdel) sera piloté par Régis Dalayat, le DSI de Scor (par ailleurs vice-président du Cigref et administrateur de l’Afai) et par Stanislas de Rémur, Pdg de Oodrive et vice-président de Tech in France.

A lire aussi :

Protection des données personnelles : nouvelles contraintes en vue pour les entreprises

Que valent vraiment vos données personnelles ? (tribune)

Le G29 souffle le chaud et le froid sur le Privacy Shield