RGPD. Derrière cet acronyme (pour Règlement Européen sur la Protection des Données) se cache un bouleversement en profondeur pour toutes les entreprises et institutions ayant à manipuler des données personnelles. Ce qui, ne serait-ce qu’en tenant compte des données de leurs propres collaborateurs, concerne 100% d’entre elles. Parce que ce règlement entre en vigueur le 25 mai 2018, c’est tout un écosystème, y compris dans la Métropole, qui se met en action autour du RGPD.
Dans ce premier volet de notre dossier, nous revenons sur les grands principe du RGPD et donnons la parole à Nicolas Courtier (photo), un avocat métropolitain particulièrement actif sur le sujet.
“Aujourd’hui, les entreprises ne sont pas prêtes”
Avocat à Marseille, Nicolas Courtier est spécialisé en droit de la propriété intellectuelle et en droit des technologies de l’information. Il est intervenu régulièrement sur le sujet du RGPD et vient de publier “Comprendre le règlement européen sur les données personnelles sans être juriste”.
Le RGPD entre en vigueur le 25 mai, où en est-on par rapport à cette échéance?
Nicolas Courtier: Aujourd’hui, les entreprises ne sont pas prêtes, le gouvernement n’est pas prêt, personne ne l’est vraiment. Et ce n’est pas forcément grave. Ce que la CNIL va vérifier, c’est si vous avez démarré la mise en conformité: où en êtes-vous ? Qu’avez-vous fait ? Avec le RGPD, on n’est plus dans une logique de déclaration, comme auparavant, mais de responsabilisation. Dorénavant, les gens doivent en connaître les principes, les appliquer et expliquer ce qu’ils en font.
Quelles sont les principales difficultés pour sa mise en oeuvre ?
NC : Il y a d’abord un problème de budget. Les entreprises ont amorcé leur prise de conscience en 2017, il y a eu beaucoup de sensibilisation à faire, en particulier auprès des comités exécutifs. La plupart des budgets RGPD sont donc des budgets 2018. Ensuite s’est posée la question de savoir où sont ces données. Il y a un vrai challenge sur les “shadow data”, soit parce que l’entreprise ne sait pas où elles sont, soit parfois parce qu’elle ne sait même pas qu’elle les a. Si on n’a pas ces informations, il est impossible de démarrer une mission de mise en conformité.
Est-ce que vous êtes de plus en plus sollicité sur le sujet ?
NC: C’est en plein décollage, je suis vraiment à un tournant de mon activité. D’autant plus que cela demande une autre manière d’exercer mon métier. La mise en oeuvre de la conformité est plus technique que juridique. J’ai donc fait le choix de m’allier à des gens qui ont ces compétences, en l’occurrence Netsystem, pour monter une offre commune, de la sensibilisation à la mise en place d’un DPO (Data Protection Officer) externalisé. C’est un aller-retour permanent. Par exemple, une fois que la cartographie des données et des process a été réalisée, elle nous revient côté juridique pour rendre le tout conforme, avant de repartir côté technique pour la mise en application.
Sur le plan des sanctions, à quoi faut-il s’attendre ?
NC: Aujourd’hui, la CNIL est dans une logique d’accompagnement, pas de sanctions. Historiquement, elle a toujours fonctionné comme cela: en 2013, sur 5000 saisies, elle n’a infligé que 14 sanctions. Maintenant, le règlement donne les moyens à l’Europe de taper fort. Si elle en a la volonté politique, elle pourra sanctionner lourdement, et je ne pense pas que le règlement vise l’artisan du coin mais plutôt les grands de la donnée.
En France, suite à un amendement LREM, la commission des lois de l’Assemblée Nationale vient de donner la possibilité d’une indemnisation via une action collective en cas de fuite de données. Ce texte risque d’être amendé au Sénat mais, puisqu’il a été voté par les députés de la majorité, on peut se dire qu’il a de bonnes chances de passer au final. Ce serait un changement très important de législation, on sait que que ce qui a rendu si peu efficaces les actions de groupe en France, c’est l’absence d’indemnisation.
Repères
Le RGPD en six mots-clés> Règlement: le RGPD est un règlement, pas une directive, c’est à dire qu’il s’appliquera dans toute l’Europe dès le 25 mai. Sont concernées toutes les structures qui sont établies en Europe ou ciblent des ressortissants européens.
> Portabilité : a l’instar de ce qui a été mis en place dans la téléphonie mobile, il devient possible à un particulier de pouvoir récupérer ses données personnelles, dans un format réutilisable pouvant être transféré à un autre prestataire de services, donc d’en reprendre le contrôle.
> By Design: le RGPD instaure le “privacy by design”. Dès la conception d’un produit ou d’un service, une société devra s’assurer qu’il respectera le vie privée et ne collectera que des données personnelles utiles à son bon fonctionnement.
> Transfert: le règlement maintient la possibilité du transfert de données hors de l’Union Européenne, mais uniquement si elles bénéficient alors des mêmes droits.
> DPO: le RGPD donne la possibilité aux entreprises de créer la fonction de DPO (Data Protection Office), soit une personne devant garantir la protection de ces données. Pour les organismes publics, cette désignation est obligatoire. > Sanction: même si le règlement met d’abord l’accent sur la responsabilisation des sociétés, il prévoit aussi un régime de sanctions renforcées, pouvant s’élever jusqu’à 4% du chiffre d’affaires des contrevenants.
