• La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Une du journal La Tribune

Dernière édition

Flèche menu déroulant
Newsletters
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat

Sélectionnez votre région

Logo La Tribune

RECHERCHER

Loupe

LTD
La Tribune Dimanche
Ouvrir dans une nouvelle fenêtre
Air&Cosmos icon
Air&Cosmos
Ouvrir dans une nouvelle fenêtre

À la une
  • Finances publiques
  • Fiscalité
  • Immobilier
  • Consommation
  • Distribution
  • Politique internationale
  • Finances personnelles
  • Banque & assurances
  • Marchés financiers
  • Intelligence artificielle
  • High tech
  • Télécoms
  • Start-up
  • Énergie
  • Politique industrielle
  • Chimie & pharmacie
  • Automobile
  • Mobilités
  • Aéronautique
  • Défense
  • Spatial
  • Environnement
  • Agriculture & agroalimentaire
Idées & débats
Kiosque numériqueNewsletters
La Tribune DimancheLa Tribune AfriqueAir&Cosmos
  • La Tribune Now
  • Votre argent avec Finance Héros
  • Construire les mobilités de demain
  • Fonction Finance 2.0 avec Cegid
  • Transformations durables avec Forvis Mazars
  • Accélérer avec le Cloud par AWS
  • Fisher Investments
  • Au coeur du business
  • VisionAir avec Bpifrance
  • Adaptabilité permanente : Le pouvoir d’agir avec IBM Consulting
  • Succès d'entreprises avec Deloitte
  • L'Œil sur vos Finances
  • Les Rencontres de Roissy Meaux Aéropôle
  • France Travail accompagne le Salon des Maires
  • La CCI Paris Ile-de-France, le réflexe des entrepreneurs
  • #La Tribune Business Interviews
  • #La Tribune Business Dossiers
  • #La Tribune Business TV
  • Instant Sélection
Événements
OpinionsTribunes

Loi sur la protection des données personnelles : contrainte ou opportunité ?

Olivier Chotin

Publié le 29 août 2017 à 14:21 - Mis à jour le 29 août 2017 à 14:53

Le Quotidien Numérique

07 juillet 2026

Photo d'illustration de l'article
LireS'abonner

Les plus lus

  • 1

    Failles du contrôle aérien français : « Nous n'avons pas attendu les rapports pour agir » réplique le patron de la DGAC

  • 2

    Europlasma : « C’est l’État qui nous a demandé de reprendre des sociétés en mauvaise santé »

  • 3

    Après les voitures, l’État décline le « leasing social » aux pompes à chaleur

  • 4

    Or : après avoir racheté des mines, le Burkina Faso face au défi de leur financement

  • 5

    Pêche : pourquoi le Gabon ferme l’accès des navires européens à ses eaux

  • 6

    La découverte inattendue des scientifiques face aux déchets radioactifs au fond de l'océan

Régions

  • Auvergne-Rhône-Alpes
  • Bourgogne-Franche-Comté
  • Bretagne
  • Centre-Val de Loire
  • Corse
  • Grand Est
  • Hauts-de-France
  • Île-de-France
  • Normandie
  • Nouvelle-Aquitaine
  • Occitanie
  • Pays de la Loire
  • Provence-Alpes-Côte d'Azur

La Tribune +

  • Espace abonné
  • Kiosque numérique
  • Annonces légales
  • Déposer vos annonces légales

Services

  • Supplément
  • La Tribune now

Evénements

  • ACT50
  • Aéroforum
  • AIM
  • Bordeaux Solar Summit
  • Family & Business Forum
  • Forum Europe Afrique
  • Impacts Santé
  • Les Lauréates
  • Paris Air Forum
  • Sommet Aéronautique & Spatial de Bordeaux
  • Sommet Économique de la Corse
  • Tech For Future
  • World News Media Congress
  • Tous nos événements en régions

Pour gérer vos consentements,

Suivez-nous sur les réseaux sociaux

YouTube
LinkedIn
Facebook
Instagram
X

Application mobile

App Store
Google Play

  • Nous Contacter
  • Charte d'indépendance et de déontologie
  • Mentions Légales
  • CGU
  • CGU Pro
  • Gestion des cookies
  • Exercez vos droits
  • Politique de confidentialité

Droits de reproduction et de diffusion réservés @LaTribune

Partenaire digital de confiance - Certification de qualité
  • La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Google icon
Ajouter La Tribune à vos sources préféréesAjouter La Tribune à vos sources préférées
La General Data Protection Regulation (GDPR), définitivement adoptée en 2016 au Parlement Européen représente un Big Bang en matière de réglementation de protection des données personnelles en Europe. Par Olivier Chotin, Consultant Manager SQLI

GDPR - Quels droits pour le Citoyen ?

Applicable dès le 25 mai 2018, soit dans moins d'un an, le GDPR, Règlement Général européen de Protection des Données personnelles, s'inscrit dans le prolongement de la loi Informatique et Liberté française. Il élargit les droits des Citoyens sur la gestion de leurs données personnelles :

  • Consentement : aucune donnée ne peut être collectée sans accord explicite et positif (art. 7)
  • Transparence : droit de savoir à quoi servent ses données (art. 13 et 14)
  • Droit d'accès et de rectification : droit de consultation et de modification (art. 15 et 16)
  • Droit à l'oubli : suppression et limitation de conservation des données (art. 17)
  • Portabilité : droit de récupérer ses données pour les transférer ailleurs (art. 20)
  • Droit d'opposition : la personne concernée a le droit de s'opposer à tout moment au traitement de ses données (art 21)
  • Profilage : droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé (art. 22).
  • Minimisation : gestion des données uniquement nécessaires à la finalité réelle (art. 5)
  • Sécurité : droit de voir ses données systématiquement protégées (art. 32)
  • Notification : droit à l'information en cas de fuite de données (art. 33)

GDPR - Quels devoirs pour l'Entreprise ?

Le GDPR oblige l'Entreprise à satisfaire les nouveaux droits des citoyens décrits précédemment, mais également à mettre en œuvre des actions qui garantissent la bonne application des principes de gestion efficiente des données personnelles, y compris les moyens de contrôle et surveillance :

Des actions d'organisation, notamment la nomination d'un Data Protection Officer (art. 37), chargé de mettre en œuvre la conformité au GDPR.

Un principe de responsabilisation du responsable des traitements et de ses sous-traitants (art. 24) et des actions pour démontrer que les traitements respectent le GDPR, et faire appliquer des directives et contrôles, notamment la tenue d'un Registre des traitements (art. 30) qui recense de manière précise les activités et actions ou événements concernant les données personnelles.

Une approche méthodologique permettant la mise en place dès la conception du respect du GDPR (Privacy by Design, art. 25) et la mise en place des seuls traitements nécessaires (Privacy by default).

Newsletter

Ma Tribune

L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Illustration de la newsletter Ma Tribune

La mise en œuvre d'analyses de risques, au travers notamment d'analyse d'impact (DPIA - Data Protection Impact Analysis, art. 34), afin d'évaluer les risques de toute activité ayant un impact potentiel important sur la protection des données personnelles.

La mise en œuvre de mesures de sécurité (art 32), afin de garantir la sécurité du traitement (cryptage, anonymisation, confidentialité, intégrité, restriction de partage et d'utilisation des données), ainsi que le test, l'analyse et l'évaluation régulière de l'efficacité des mesures de sécurité.

La notification d'incidents de sécurité « Data Breach Notification » (art. 33 et 34) auprès de l'autorité de contrôle compétente et des personnes concernées.

GDPR - Quels impacts pour l'entreprise ?

Le GDPR a un impact majeur sur tout le cycle de vie des données à caractère personnel.

Ceci nécessite donc de renforcer en particulier la gouvernance des données et de parfaitement maîtriser les processus Métiers et les données associées.

De manière plus générale, l'impact de la GDPR est majeur, et nécessite de mettre en œuvre une approche globale de transformation sur les 8 axes :

  • Stratégie Data

Il s'agit de définir une stratégie Data et de création de valeur respectant le GDPR, par la collecte et la valorisation des données dans le cadre d'une finalité claire et transparente (approche Data Centric).

  • Gouvernance des données, directives et culture

Une gouvernance, portée par le top management est indispensable, afin de donner la bonne direction à toute l'entreprise, et s'assurer une surveillance optimale de la mise en œuvre.

Cette démarche sera initiée par la définition de principes et directives liés au GDPR, un code de conduite sur la gestion des données personnelles, une sensibilisation de tous les acteurs et leur implication dès le début dans la conduite du changement de culture.

  • Organisation, ressources et compétences

Cette démarche globale de transformation doit être assurée et coordonnée par le DPO. L'implication du ou des Responsables des traitements et autres acteurs clés doit être garantie (juridique, RSSI, responsables processus Métiers, ...).

Elle impose une définition claire de leurs rôles et missions, de leur positionnement et de leurs responsabilités, au travers d'un véritable management collaboratif, afin de garantir une cohérence et une complémentarité des acteurs.

Leur montée en compétence doit être assurée au travers de formations et d'accompagnements.

  • Processus Métiers

La conformité au GDPR commence par la maîtrise des processus Métiers, idéalement pilotés par des responsables de processus.

La mise en œuvre d'un registre des traitements et la réalisation de DPIA sur les traitements sensibles assureront une maîtrise des risques ainsi qu'une transparence vis-à-vis de la CNIL.

L'intégration dès la conception des processus et traitements, des contrôles d'accès, des règles de sécurité, et des règles GDPR (Privacy by Design, Security by Design) sera réalisée en conformité avec les directives et codes de conduite relatifs au traitement des données personnelles.

La réflexion couvrira également l'intégration des données personnelles, gérées par le nouveau processus ou traitement, dans les activités et applications de gestion des droits des citoyens.

  • Activités GDPR

L'ensemble des activités relatives au GDPR est à définir et déployer, que ce soit la gestion des droits par le citoyen (consultation, effacement, transfert) que le pilotage opérationnel de la démarche au sein de l'Entreprise (suivi des activités GDPR et gestion des risques, revues, audits et contrôles, suivi de sous-traitants, reporting, communication, gestion des alertes, ...).

  • Gestion des données et de l'information

Une cartographie générale des données personnelles, leur structuration et modalités de stockage garantira une mise en œuvre de processus Métiers et traitements cohérents entre eux.

L'information interne couvre la communication, ainsi que les indicateurs de suivi et de pilotage du projet GDPR dans l'Entreprise.

L'information externe s'adresse aux citoyens sur leurs droits et données personnelles gérées par l'Entreprise et les incidents, et s'adresse également aux autorités compétentes (CNIL).

  • Implémentation technique

L'architecture du SI de l'Entreprise doit permettre l'intégration des exigences du GDPR. Une architecture Data Centric facilitera cette adaptation.

D'autre part le développement d'applications est indispensable pour gérer de manière optimale la gestion de la relation avec les citoyens et de leurs droits (information, modification, transfert, effacement, ...). Le risque majeur est un afflux de demandes, en particulier une concentration au début, et une impossibilité pour l'Entreprise de répondre dans les délais.

L'utilisation d'outils, dont de nombreux restent à développer, doit faciliter la réalisation d'audits techniques automatisés (audit de code, test d'applications Web ou smartphone, ...).

  • Juridique

Une forte implication du directeur juridique et de son équipe est nécessaire pour coordonner, contrôler et valider au niveau juridique les actions liées au GDPR et les contrats avec les partenaires et sous-traitants.

Une veille juridique est indispensable, renforcée par l'accompagnement d'un juriste spécialisé externe, notamment au démarrage.

GDPR - Une opportunité de création de valeur durable pour l'entreprise ?

Le législateur européen aurait pu se contenter de définir les droits des citoyens en matière de données personnelles et les sanctions pour les Entreprises qui n'appliquent pas ces obligations.

Il a bien compris que le succès de l'application de ce règlement passait par la mise en œuvre de sanctions importantes, mais aussi par la forte incitation à mettre en œuvre des bonnes pratiques de gouvernance et de management des données personnelles, qui s'appliquent tout naturellement également aux autres données gérées.

Dans ce cadre, il a formalisé en articles la mise en œuvre obligatoire de ces bonnes pratiques afin de garantir une maturité minimale des Entreprises. Ces bonnes pratiques visent à :

  • Consolider ou développer une cartographie des traitements et des données personnelles et mieux évaluer les risques (registre des traitements, DPIA, ...)
  • Développer et organiser une démarche d'Entreprise (implication top management, DPO, responsabilisation des acteurs, gouvernance, plan de transformation, ...)
  • Améliorer la culture « Data » de l'Entreprise (sensibilisations de tous, code de conduite, ...)
  • Améliorer la conception des traitements et applications associées (Privacy by Design, ...)
  • Améliorer la sécurité (Security by Design, accès, confidentialité, ...) et les contrôles associés
  • Améliorer la maîtrise des sous-traitants
  • Améliorer la surveillance, les revues et contrôles internes

Ainsi, dans le cadre d'une généralisation des approches « Data Centric », ces bonnes pratiques deviennent des piliers de la transformation digitale des Entreprises :

  • Elles contribueront à l'amélioration de la Gouvernance et à la Culture de la donnée
  • Elles faciliteront la maîtrise des risques, la qualité des données, ainsi que la sécurité et le contrôle des données
  • Elles seront un vecteur d'optimisation des ressources, techniques mais aussi humaines, en développant leurs compétences sur le sujet

Au final, cette approche contribuera activement à la création de valeur durable pour l'Entreprise :

  • Par une meilleure performance des traitements
  • Par une meilleure connaissance de ses données, et le développement de stratégies nouvelles de valorisation
  • Par une communication client transparente et responsable, vecteur d'une relation de confiance et durable

Olivier Chotin

Sur le même sujet

Des grues sur un chantier de construction de maisons individuelles dans un lotissement à Valence.

OPINION. Logement : « Après dix ans de défiance, faisons enfin confiance aux maires »

La crise du logement impose de changer de méthode. Il ne suffit plus d’appeler les élus locaux à leurs responsabilités ; il faut leur faire confiance. Il ne suffit plus de proclamer la décentralisation ; il faut enfin transférer de vrais leviers. Par Gil Avérous, maire de Châteauroux et président de Villes de France, et cent maires

Idées & Débats
Louis Raynaud de Lage

OPINION. « L’IA, bon serviteur, mais mauvais maître, doit faire l’objet de choix conscients »

L'IA est devenue un enjeu de puissance et de dépendance stratégique. Après l'affaire Anthropic, nations, entreprises et individus risquent de perdre leur souveraineté face à des algorithmes. Comment préserver notre libre arbitre et rester maîtres de nos choix ?

Idées & Débats
Warhol / Khomeiny

OPINION. « Le Warhol que Khomeiny n'a pas brûlé » (Michel Santi)

La République islamique voulait chasser l'influence occidentale. Elle conserve pourtant, dans les réserves d'un musée de Téhéran, l'une des collections d'art moderne les plus précieuses hors d'Europe et des États-Unis — dont personne, pas même le régime qui la détient, ne connaît la valeur exacte.

Idées & Débats
Anne Duisabeau

OPINION. « Le changement climatique s'accélère : les politiques publiques, elles, changent de cap »

La France vient de connaître un épisode de canicule d'une intensité inédite. Chaque été rappelle un peu plus brutalement que, pour survivre, nos forêts doivent s'adapter au changement climatique.

Idées & Débats
Clôture des Rencontres d'Aix 2026

OPINION. Rencontres économiques d'Aix : « 14 engagements pour une présidentielle des idées et de l’action »

Après trois jours de débats réunissant près de 10 000 participants, 480 intervenants, 55 pays et 90 sessions, la 26e édition des Rencontres Économiques d'Aix-en-Provence se conclut par un appel à l'action.

Idées & Débats
Vianney Devienne

OPINION. Mobilité électrique : « On n’achète pas une borne, on achète un écosystème de services »

Obligées de verdir leurs flottes, les entreprises françaises accélèrent l’électrification. Ce mouvement impose en parallèle le déploiement d’infrastructures de recharge. Or, derrière une borne se cache un écosystème complet de services : supervision, gestion des utilisateurs, optimisation énergétique. Ces paramètres techniques et contractuels ont un impact direct sur le TCO de l’infrastructure.

Idées & Débats
Jean-Roch Varon

OPINION. « La France a gagné la bataille de l'attractivité, celle de la confiance commence maintenant »

La France est paradoxale, elle qui doute souvent de son potentiel tout en restant, pour la septième année consécutive, le premier destinataire des investissements directs étrangers en Europe. Ce paradoxe mérite d’être surmonté : apprenons à reconnaître nos atouts tout en offrant aux investisseurs le climat des affaires qu'ils attendent.

Idées & Débats
Kristin Thorsteinsdottir

OPINION. « L’hôtellerie n’est plus un secteur de curiosité pour les investisseurs : elle est devenue un vrai moteur économique ! »

Les investisseurs institutionnels redécouvrent l’hôtellerie. La résilience post-pandémie, la vigueur du tourisme et des volumes de transactions en hausse transforment la perception du secteur. Cette mutation impose un changement de posture : l’hôtel est d’abord une entreprise opérationnelle, et non la simple addition de murs et d’actifs financiers.

Idées & Débats