Fermer la publicité
Journal d'information juridique et d'annonces légales

RGPD : "C'est très compliqué aujourd'hui de se déclarer 100% conforme"

le - - Actualité - Interview

RGPD : "C'est très compliqué aujourd'hui de se déclarer 100% conforme"

A l'occasion du premier anniversaire de l'entrée en application du RGPD, Adrien Aulas, avocat expert en droit des nouvelles technologies, ayant une appétence et une expérience particulières sur la protection des données personnelles, fait part de son éclairage sur la mise en conformité avec le règlement européen.

Affiches Parisiennes : Où en sont les entreprises dans leur processus de mise en conformité, notamment les TPE-PME ?

Adrien Aulas : En réalité, c'est très compliqué de se déclarer en totale et parfaite conformité, que ce soit aujourd'hui, dans cinq ou dix ans, car c'est un process continu. Une entreprise n'atteint jamais vraiment le 100 % de conformité, elle travaille dessus tous les jours. Elle cherche à avoir des relais de conformité, comme les compliance officer ou les DPO, et les met en autonomie.

"Tout le monde a droit à sa mise en conformité ;
il appartient aux prestataires et aux avocats d'imaginer
des solutions innovantes et sur mesure."

Aujourd'hui, il y a un paradoxe car d'un côté les entreprises françaises commencent à avoir une idée à peu près claire de comment se mettre en conformité avec le RGPD, elles ont déjà fait une grande partie du travail, mais d'un autre côté, il reste des incertitudes car il s'agit d'un texte de compromis, avec ses zones grises. Les autorités de contrôles ne se sont d'ailleurs par encore prononcées sur l'intégralité de ses dispositions. C'est pour ça que consulter un avocat peut encore avoir une utilité

A.-P. : Vers qui doivent se tourner les dirigeants d'entreprise ? leur avocat, leurs juristes, leur DSI ?

A. A. : Les multiples compétences que nécessite la mise en conformité avec le RGPD soulèvent cette question. Il y a effectivement un volet juridique incontournable, et un volet technique. Le soutien par un avocat ou un juriste paraît indispensable.

Un DSI ayant une connaissance approfondie de l'encadrement juridique des systèmes d'information peut être un relais important. Les grandes entreprises ont la chance d'avoir des équipes pluridisciplinaires ; à l'inverse, ce chantier technico-juridique peut sembler plus compliqué pour les PME.

A.-P. : Qui est le data protection officer (DPO), ce nouveau métier imposé par le RGPD ? Une entreprise peut-elle externaliser ce poste ?

A. A. : Le DPO ou délégué à la protection des données est le pilote de la mise en conformité. Dans la majorité des cas les entreprises sont obligées d'externaliser ce poste parce que c'est compliqué de trouver quelqu'un en interne qui ne soit pas en situation de conflit d'intérêts.

En effet, le DPO ne doit pas prendre une part active aux décisions qui ont trait à l'organisation des traitements de données. Il occupe une place à part, et doit être un conseil indépendant, ce qui est complexe dans une TPE ou une PME.

Dans ces petites entreprises, souvent personne ne peut accomplir cette tâche puisque le dirigeant, le DSI ou le DAF ont généralement le pouvoir de prendre des décisions ayant un impact sur le système d'information et les activités de traitement.

Elles doivent donc soit recruter quelqu'un pour occuper ce poste, soit l'externaliser auprès de spécialistes ou d'avocats. Nous avons déontologiquement la possibilité de faire ce métier en parallèle de notre profession. Sinon de très bons cabinets de consultants proposent ces services. Dans la majorité des cas, le plus simple est donc d'aller chercher la compétence en externe.

A.-P. : Comment s'assurer que ceux qui proposent des services de DPO sont qualifiés ?

A. A. : A terme, ces professionnels auront des certifications. La Cnil a d'ores et déjà publié les référentiels pour ce faire, et les premiers organismes de certification sont déjà visibles. En l'état, c'est un marché comme un autre où il faut faire du benchmark pour trouver le bon prestataire.

A.-P. : Quelles sont les étapes clés qu'une entreprise doit suivre ?

A. A. : En général, on travaille en deux temps. Le premier est celui de l'audit des traitements de données personnelles. C'est paradoxalement le plus long et le plus compliqué. En fonction de la taille et du secteur de la structure on ne fait pas du tout le même travail. Ça peut prendre deux mois comme un an, voire un an et demi. Cela peut être fastidieux pour l'entreprise car il faut identifier en interne tous les traitements de données de la structure, ce qui nécessite de mobiliser beaucoup de monde au sein de l'organisation.

On cartographie les traitements pour arriver à une sorte de matrice où sont identifiées toutes les données collectées, les raisons de cette collecte et toutes les potentielles non-conformités, par exemple un trop-plein de données non justifié, un défaut de mention d'information ou de consentement.

"Dans la majorité des cas les entreprises sont obligées d'externaliser le poste de DPO"

Le second temps est celui du déploiement. On va alors mettre en place toutes les mesures correctives nécessaires en coopération avec les équipes internes de l'organisation. Ça peut être la mise en place de mentions d'information pour les clients, ou une modification du système d'information de l'entreprise si on constate un défaut de sécurité, un point sur lequel la Cnil a beaucoup sévi récemment.

C'est un travail qui varie complètement d'une organisation à une autre. On ne met pas en conformité une start-up comme on le fait pour un grand groupe. Ça s'explique aussi bien par la réalité des traitements de données, qui est différente, que par les contraintes budgétaires, l'organisation, la gouvernance et le temps.

A.-P. : La mise en conformité entraîne-t-elle un coût très élevé ? Quels sont les secteurs d'activité les plus exposés aux sanctions et pourquoi ?

A. A. : L'avantage du RGPD est que c'est un texte large dans ses principes, qui n'entre pas dans le détail de l'ensemble des cas concrets, donc c'est assez scalable pour les entreprises. On peut trouver différentes façons de se mettre en conformité, qui varient vraiment d'une organisation à une autre.

Je pars du principe que tout le monde a droit à sa mise en conformité ; il faut simplement que les avocats et les prestataires imaginent des solutions et des prix correspondant aux besoins réels et opérationnels des entreprises. On peut trouver des manières de faire plus agiles, et proposer des formules sur-mesure, qui se focalisent sur les points essentiels en fonction du contexte et de l'activité des clients.

Une veille dynamique avec la Maj d'Aeon

L'engagement associatif d'Adrien Aulas reflète bien sa passion juridique car il préside la section jeune de l'Adij (Association pour le développement de l'informatique juridique) et a cofondé, avec deux amis, l'association Aeon. Cette dernière publie chaque mardi matin une newsletter – la “Maj” (mise à jour) – sur aeonlaw.eu qui débriefe l'actu avec un regard critique et une analyse “techno-juridique” anglée sur le droit des nouvelles technologies.


Les organisations pour lesquelles la mise en conformité peut s'avérer la plus complexe sont celles pour lesquelles le RGPD se mêle à d'autres réglementations, comme le secteur de la publicité en ligne, ou les organismes de recherche soumis au Code de la santé publique. On est là sur des sujets de pointe, où l'entreprise doit s'assurer d'aller chercher une compétence juridique approfondie.

En France, la Cnil annonce chaque année son programme de contrôle. En 2019, elle a réitéré son intérêt pour le secteur du recrutement et des ressources humaines. On sait donc que des structures telles que les cabinets de chasseurs de têtes, par exemple, sont assez exposés. Après, ce qu'elle indique publiquement ne l'empêche absolument pas d'aller sanctionner d'autres secteurs, à partir de plaintes ou d'indices. Il y a par exemple eu un certain nombre de sanctions récentes à l'encontre de sociétés fournissant de la publicité par géolocalisation.

A.-P. : Quelles sanctions risquent les organisations en cas de non-respect du RGPD ?

A. A. : En théorie, elles risquent des amendes qui peuvent s'élever jusqu'à 10 ou 20 millions d'euros, ou bien jusqu'à 2 ou 4 % de leur chiffre d'affaires mondial, mais on attend de voir la pratique des autorités de contrôle. Hormis Google, très peu d'entreprises ont aujourd'hui été condamnées sur le fondement du RGPD. Jusqu'alors la Cnil sanctionnait sur le fondement de la loi “Informatique et Libertés”, pour des faits datant d'avant l'entrée en application du RGPD.

Aujourd'hui, on a donc encore assez peu d'indices sur la manière dont le texte va être mis en pratique, même si le RGPD édicte une liste de critères d'appréciation assez généraux. La Cnil ne va pas forcément sanctionner de la même manière, par exemple, que l'autorité de contrôle allemande ou que la fameuse autorité irlandaise qui a les sièges sociaux européens de la majorité des géants du numérique sur son territoire. Établir quels sont leurs critères d'évaluation et leur échelle de sanctions seront les enjeux des prochaines années.

A.-P. : Les Cnil européennes ont-elles mis en place des mécanismes de coopération ?

A. A. : Je ne sais pas si les autorités européennes ont mis en place un programme commun de contrôle visant des secteurs particuliers, mais elles sont à tout le moins censées échanger sur les plaintes à caractère transnational qu'elles recevraient. Par exemple, des procédures en cours visent différentes multinationales parmi lesquelles Google ou Facebook, et on sait que la Cnil française travaille avec ses homologues irlandaise ou allemande sur ces dossiers.

A.-P. : Estimez-vous que les entreprises françaises accusent un retard sur la mise en conformité RGPD ?

A. A. : La Cnil avait elle-même annoncé qu'elle ne s'attendait pas à une mise en conformité immédiate dès le 25 mai 2018. En revanche, nous arrivons au terme de cette période de tolérance et elle s'attend désormais à ce que les entreprises, y compris les TPE, soient bien avancées en termes de mise en conformité.

Il n'y a pas de statistiques en la matière et il peut difficilement y en avoir dès lors qu'être en conformité ne veut pas forcément dire la même chose d'une entreprise à une autre. On est davantage dans une dynamique permanente qu'une phase d'atterrissage.

"La Cnil ne va pas forcément sanctionner de la même manière que l'autorité de contrôle irlandaise,
par exemple, qui a les sièges sociaux des géants du numérique"

On peut déjà se féliciter que le sujet ait été bien intégré par l'écosystème des entreprises, au moins dans les mentalités. C'est un réflexe qu'on voit de plus en plus. Par exemple, aujourd'hui lorsqu'une start-up vient nous consulter pour ses conditions générales de vente, il est fréquent qu'elle nous demande aussi de vérifier sa conformité RGPD car c'est important pour elle, et que les incubateurs et les investisseurs sont demandeurs de garanties à ce niveau-là.

C'est un besoin accepté et nos clients s'en préoccupent sincèrement. Même à titre personnel on voit que les gens sont sensibilisés.

A.-P. : Le RGPD a-t-il été moteur ou accélérateur de la digitalisation des entreprises ?

A. A. : On constate que ça leur a donné une occasion de repenser l'architecture de leur système d'information. C'est-à-dire qu'elles ont pu revoir de fond en comble leur process et la gouvernance du traitement des données.

Par exemple, on a pu observer que dans la phase d'audit, où l'on rencontre plusieurs départements, comme la DSI, la DRH, le juridique, etc., les échanges permettent de faire émerger des problématiques très concrètes que les dirigeants et les salariés eux-mêmes n'avaient pas forcément identifiées au sein de leur propre entreprise. Ça a parfois permis d'améliorer des process n'ayant même rien à voir avec le RGPD.

A.-P. : Est-ce parfois l'occasion de valoriser leur base de données ?

A. A. : Ça peut effectivement permettre de prendre conscience des données dont on dispose, d'améliorer la communication en interne autour de ces bases de données, et de potentiellement se rendre compte qu'on a des bases de prospects existants qui fonctionnent très bien, et qu'on peut les réactiver sans avoir besoin d'en acheter. Après, monétiser ses données est une autre démarche qui ne concerne pas forcément toutes les entreprises, mais qui peut s'en suivre.

A.-P. : Comment les entreprises peuvent-elles décider de leur stratégie liée au cloud ? Est-il toujours possible de stocker toutes ses données en France ?

A. A. : Oui, c'est tout à fait possible car il existe un certain nombre de prestataires français qui fonctionnent très bien. OVH, par exemple, est une réussite nationale dans ce domaine. Toutefois, ce n'est pas un objectif en soi.

Ce n'est pas forcément moins bon en termes de sécurité et de conformité d'aller héberger ses données ailleurs dans l'Union européenne, ou bien même en dehors.

En revanche, quand on sort de l'UE on doit entrer dans des considérations particulières de transfert précisées par le RGPD, et prévoir contractuellement des garanties supplémentaires avec le prestataire.

A.-P. : Comment peut-on s'assurer que la sécurité des données est garantie ?

A. A. : Là on tombe dans l'aspect cybersécurité, un corollaire direct du RGPD, et des considérations principalement techniques. Dans ce domaine, il existe une autre autorité, l'ANSSI (l'Agence nationale de la sécurité des systèmes d'information, NDLR), qui a aussi son mot à dire et est, depuis longtemps, dans une dynamique de certification et d'audit des prestataires.

Les entreprises ont d'ailleurs la chance de pouvoir consulter en ligne la liste établie par l'ANSSI des prestataires certifiés à divers degrés. Cette liste donne une idée assez précise de vers qui se tourner pour avoir un service sécurisé (www.ssi.gouv.fr/uploads/liste-produits-et-services-qualifies.pdf, NDLR).

A.-P. : Qu'est-ce qu'un data lab, un data center ? En quoi ces outils peuvent-ils aider à la mise en conformité avec le RGPD ?

A. A. : Il s'agit de deux choses complètement différentes. Un data center est ni plus ni moins qu'un hébergeur chez qui on stocke les données, tandis qu'un data lab est une sorte de laboratoire d'analyse des données pour l'optimisation de l'exploitation de ces dernières.

Dans un data lab des data scientists fournissent à l'entreprise une visualisation de l'ensemble de ses flux de données et l'aide à mieux comprendre ce qu'elle collecte, comment les informations circulent et sont interconnectées, qui a accès à quoi, et potentiellement faire émerger des métadonnées, ou des données inférées à partir d'une base de données brute. Il peut souvent s'agir de traitements de pointe, utilisés par les grands groupes ou les start-up innovantes dont le métier implique du big data.

A.-P. : Sommes-nous à la pointe dans ce domaine ?

A. A. : En matière de nouvelles technologies nous n'avons pas de honte à avoir, car nous avons des prestataires français très performants et très innovants mais aussi des cerveaux, qui ne travaillent d'ailleurs pas forcément dans des entreprises françaises, mais ce n'est pas un sujet propre au secteur de la donnée.

Nous avons par exemple OVH pour le stockage, et Criteo pour l'exploitation et la valorisation des données. Nous sommes donc bien placés dans ce secteur, même s'il fait peu de doute que les géants susceptibles de concurrencer les positions américaines ou asiatiques doivent aujourd'hui se penser et se construire à l'échelle européenne.




Anne MOREAUX
Journaliste

Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide