Le rôle du conseil d’administration en matière de protection des données personnelles | Articles

Article publié par le Cercle suisse des administratrices – lien

Toutes les entreprises, grandes ou petites, collectent et traitent des données personnelles, qu’il s’agisse d’employés, de clients ou de partenaires commerciaux. Les données personnelles représentent un risque mais aussi une opportunité. Au niveau de l’Union européenne, le traitement des données personnelles fait l’objet d’une réglementation dense (le RGPD) comportant des sanctions contre les entreprises pouvant aller jusqu’à 4% de leur chiffre d’affaires. Au niveau suisse, la nouvelle loi prévoit des sanctions pénales pouvant atteindre un montant de CHF 250’000 à l’encontre des personnes responsables – par exemple les membres de la direction ou du conseil d’administration ; en principe, ces sanctions ne sont pas couvertes par les assurances et ne peuvent pas être prise en charge par la société.

Dans le même temps, le respect de la réglementation devient un atout : l’entreprise qui s’y conforme respecte les clients et les employés. La conformité est également une sécurité pour les partenaires commerciaux, puisque la règlementation oblige les sociétés à ne travailler qu’avec des partenaires ou des sous-traitants qui s’y conforment. Le respect de la réglementation se présente comme une opportunité de se distinguer de la concurrence.

Quel est le rôle du conseil d’administration en matière de protection des données personnelles ? Comment maximiser les opportunités et réduire les risques ?

Le conseil d’administration a pour tâche de s’assurer que les activités de la société soient conformes aux lois et règlements sur la protection des données. Il doit donc jouer un rôle actif en matière de conformité. Il incombe concrètement au conseil d’administration de veiller au respect des lois et règlements en matière de protection des données dans toutes les juridictions où l’organisation exerce ses activités. La conformité dans ce domaine étant une cible mouvante, les mots clés pour le conseil d’administration sont « préparation » et « suivi ». Cela signifie qu’il faut mettre le sujet à l’ordre du jour régulièrement. Les sujets ci-dessous constituent un aide-mémoire utile pour les membres du conseil d’administration ; en les abordant lors des réunions du conseil, les membres pourront s’assurer que l’entreprise adopte et maintient un niveau de conformité approprié.

Type et quantité de données personnelles collectées et traitées. Toute entreprise, grande ou petite, collecte et traite des données personnelles, ne serait-ce que celles de ses propres employés. Plus une entreprise en traite, plus cela peut présenter un risque réglementaire et de réputation : par exemple, les organisations qui sont en contact direct avec les consommateurs ou qui traitent les données RH des clients sont plus exposées que les entreprises qui ne font que vendre à d’autres entreprises (B2B). Comprendre quelles données personnelles sont collectées et traitées revient à comprendre le modèle économique de la société à travers ce prisme : Quels types de données personnelles sont collectées et traitées ? Ces données personnelles sont-elles sensibles (par exemple, des données de santé) ? Quelle quantité de données personnelles est collectée et traitée ? Dans quels pays l’entreprise collecte-t-elle ces données ?

Impact sur le modèle d’affaires. Les données personnelles peuvent être au cœur du modèle économique de l’entreprise. Dans un tel cas, elles présentent non seulement un risque réglementaire et de réputation, mais aussi un risque pour la durabilité du modèle économique de l’organisation. Par exemple, un jeu vidéo pour enfants et adolescents ou une plateforme de services aux particuliers seront davantage touchés qu’une plateforme B2B. Le conseil d’administration doit faire un double travail pour s’assurer que les activités respectent la réglementation d’une part et que le modèle économique s’adapte et résiste aux futures réglementations d’autre part. Le modèle économique repose-t-il sur le traitement de données personnelles ? Y a-t-il des produits importants qui impliquent ou nécessitent un traitement significatif de données personnelles ? Où sont stockées les données personnelles (en Suisse, dans l’UE, ailleurs) et quels sont les flux de données transfrontaliers ? Quelles sont les tendances réglementaires dans chaque juridiction ? Un projet de réglementation pourrait-il avoir un impact sur le modèle économique de l’entreprise, sur l’un de ses produits importants ou sur les flux de données transfrontaliers ?

Gouvernance. Le conseil d’administration doit assurer une bonne gouvernance et pour ce faire, il doit se poser les questions suivantes : Qui est/sont la/les personne(s) responsable(s) et à qui rendent-elles compte ? Comment la coordination avec les autres unités concernées (informatique, (cyber)sécurité, lancement de nouveaux produits, département des achats, transformation numérique, etc.) est-elle assurée ? Le système de gouvernance choisi est-il adapté ?

Questions sur le programme de conformité. Il incombe au conseil d’administration de veiller à ce que la société adopte un programme de conformité ; lorsque la gestion n’est pas déléguée à une direction, le conseil doit le mettre en œuvre. Les points suivants doivent notamment être abordés : L’entreprise dispose-t-elle d’un programme de conformité en matière de protection des données ? Existe-t-il un plan en cas de violation des données personnelles ? Ce plan est-il intégré aux autres mécanismes en place (par exemple, plan de continuité des activités, cybersécurité, gestion de crise, communication) ? Les partenaires commerciaux et les sous-traitants présentent-ils un risque dans ce domaine ? D’autres questions encore peuvent devoir être abordées en fonction des activités de la société.

Budget. Le conseil d’administration doit allouer les ressources nécessaires à la mise en conformité, ce qui justifie les questions suivantes : Les dépenses y relatives sont-elles correctement budgétisées ? La direction a-t-elle alloué le budget nécessaire à chaque projet ?

Gestion des risques. Le traitement des données personnelles expose l’entreprise à des risques réglementaires et de réputation. Le conseil d’administration doit évaluer le niveau de risque et s’assurer qu’il est correctement géré. Les membres du conseil d’administration devraient principalement se poser les questions suivantes : Quel est le niveau de risque auquel l’entreprise et les responsables sont exposés ? Quel est le niveau de risque acceptable (risk appetite) en ce qui concerne la protection de données ? Ces risques sont-ils couvert par l’assurance de l’entreprise ?

La protection des données personnelles concerne toutes les organisations, petites ou grandes, et vise tous les secteurs. La transformation numérique va également conduire chaque entreprise à traiter de grandes quantités de données personnelles de clients ou de partenaires commerciaux. Le conseil d’administration joue un rôle actif : il lui appartient de développer une culture d’intégrité et de conformité en matière de protection des données personnelles. Une telle culture transformera le risque en opportunité et permettra à l’organisation d’assurer sa pérennité sur le long terme.

close