Mazars vient de dévoiler les résultats de son nouveau baromètre Médias dédié cette année au Règlement Général sur la Protection des Données (RGPD). Ce rapport s’appuie sur l’étude des facteurs de risques présentés dans les rapports annuels des 100 plus importantes sociétés du secteur des médias en Europe et aux Etats-Unis.
Le RGPD exige que les détenteurs de données personnelles assurent la sécurité de celles-ci. Pour limiter les abus en termes de profilage, le législateur européen a prévu un autre règlement sur la protection de la vie privée en ligne : l’e-privacy.
Tous deux entreront en vigueur le 25 mai 2018. Caractérisé par un business model qui s’oriente de plus en plus vers l’exploitation des données personnelles de ses utilisateurs, le secteur des médias doit lui aussi se mettre en ordre de marche pour assurer sa mise en conformité.
Les médias, particulièrement concernés par le RGPD et l’e-privacy
L’arrivée d’Internet, la digitalisation des contenus et l’évolution des habitudes de consommation des individus qui en a résulté ont amené les médias à monétiser un contenu devenu tout ou partiellement numérique.
La presse et l’industrie musicale ont été les médias qui ont été les plus impactés par ce changement, adaptant très tôt leurs business models notamment par la mise en place d’abonnements en ligne, permettant de récupérer des données personnelles.
Par ailleurs, le comportement et la traçabilité des lecteurs fournissent des informations précieuses dans la monétisation globale des contenus.
« A l’heure où 53% des Français lisent la presse sur un support numérique et où la croissance du secteur musical est portée par les offres streaming, les enjeux liés au RGPD et à cette obligation de désormais tracer ces données et de les restituer le cas échéant deviennent ainsi capitaux. »
– commente Julien Madile, Senior Manager Mazars.
La conformité en trois étapes clés
Si la conformité au RGPD est un processus dense, complexe et long à mettre en œuvre, elle nécessite de respecter trois étapes :
- Réaliser un état des lieux : cartographier, identifier et recenser les domaines où l’entreprise présente un écart avec les exigences de la réglementation afin de concentrer les efforts sur les sujets qui nécessitent des actions correctrices.
- S’organiser pour répondre aux différentes exigences du règlement européen. Cette organisation passe d’abord par la nomination d’un pilote, le Data Privacy Officer, mais aussi par l’intégration de processus internes liés au RGPD dans l’entreprise et par la revue contractuelle des engagements intégrant des prestations traitant des données à caractère personnel.
- Faire des exigences du RGPD, de l’e-privacy et de la gestion des risques parties intégrantes de tout futur projet de l’entreprise.
Des sanctions financières conséquentes en cas de non-respect
En cas de non-respect, les entreprises se risquent à des sanctions pouvant aller jusqu’à 4% de leur CA annuel mondial ou 20 millions d’euros (le montant le plus important des deux sera retenu) que ce soit pour le RGPD comme pour l’e-privacy.
« Le RGPD requiert d’agir à au moins 4 niveaux distincts : Réglementaire et conformité, Analyse de données, Sécurité des systèmes d’information et enfin Processus et organisation. Cela rend son application complexe et nécessite une réflexion approfondie préalable à toute action.
La mise en conformité au RGPD doit ainsi être vue comme un projet d’entreprise général. Dans ce contexte, le rôle des dirigeants d’entreprise est fondamental »
– conclut François Nogaret, Associé Mazars.