Deux ans de RGPD, mais il reste « des chantiers extrêmement complexes » selon Me Labruyère
2018 - 2020
Le 25 mai 2020 à 16h00
6 min
Droit
Droit
Le 25 mai 2018, entrait en application le règlement général pour la protection des données personnelles, le fameux RGPD. Dans nos colonnes, Me Oriana Labruyère, spécialisée sur ces questions, revient sur ce texte non sans évoquer l’épisode du confinement.
Ce règlement, que nous avions analysé ligne par ligne, concrétise le nouvel encadrement des traitements de données. À la clef, des droits confirmés, d’autres consacrés, mais surtout de nouvelles obligations pour les responsables de traitement.
Deux grandes lignes à retenir pour en comprendre les enjeux : d’une part, la mise en œuvre d’une logique de responsabilité. Si auparavant, les traitements exigeaient à tout le moins une déclaration préalable quand ce n’était pas une rugueuse autorisation, le RGPD fait peser sur les épaules des entreprises, mais également des personnes publiques, le soin de mettre en œuvre toutes les mesures adéquates pour garantir le respect du texte.
Dans un renversement de la charge de la preuve, il leur revient le soin de démontrer avoir respecté ses différentes obligations, puisqu’afficher une conformité faciale sans être conforme n'est que de la conformité cosmétique.
D’autre part, l’application extraterritoriale du texte a permis de porter ces grands principes au-delà des frontières à l’égard des entités ciblant des personnes résidantes en Europe. La question a été cruciale puisque préalablement, ce critère de la territorialité était sans cesse combattu par les entreprises mises en cause.
À l’heure du bilan, nous avons pu interroger Me Oriana Labruyère, avocate spécialisée sur le texte, et par ailleurs déléguée à la protection des données personnelles (DPO).
En tant qu’avocate et DPO, quels enseignements tirez-vous après ces deux années d’application du RGPD ?
Ils sont nombreux. En deux mots, je pense que le principal enseignement est lié à la réactivité des entreprises et de leurs collaborateurs. On observe un intérêt très fort des collaborateurs qui une fois dissipée l’appréhension autour du projet, s’intéressent et s’impliquent sur ce sujet.
Les entreprises font souvent preuve d’une grande agilité et d’une grande réactivité. Il reste cependant des chantiers extrêmement complexes notamment au niveau des durées de conservation et de la destruction. Au-delà de la culture de l’entreprise, ces questions dépendent du système d’information et des outils utilisés, l’agilité ici se compte en semestre.
On observe aussi que les gens ont parfois du mal à se parler, il y un manque de transversalité. Il y a aussi ceux qui refusent que les choses avancent sur le terrain du règlement, sans dogmatisme au regard de la réglementation, mais pour des considérations de politiques internes ou d'opportunité. Difficile de conduire un projet RGPD tout en menant d'autres projets d'envergure similaire au regard de la charge de travail induite.
Ils considèrent que c'est un ralentissement d'activités alors que ce n'est pas le cas. Il y a des bénéfices directs, la mise en conformité, mais aussi indirects : quand un tel projet est mené consciencieusement avec les moyens adaptés, le premier bénéficie est celui de la communication interne.
Avez-vous constaté une évolution auprès des autorités de contrôle ?
Oui, notamment au regard des sanctions récentes où les sociétés contrôlées n’étaient pas forcément des géants d’internet. On se souvient de Fizzup ou de Futura Internationale. Il faut s’attendre à ce que ces contrôles, notamment à distance, se multiplient.
Ça va dans le sens du RGPD qui impose aux États membres de veiller à l’effectivité des droits des personnes physiques. La crédibilité de ces réglementations est nécessairement fonction de ces aspects dans notre culture. En 2018, beaucoup de responsables de traitements ne s’estimaient pas prêts.
Et aujourd’hui ?
Aujourd’hui, la question n’est plus de savoir s’ils sont prêts, mais de savoir ce qu’ils mettent en œuvre. Après l’urgence de démarrer les projets de conformité, dont la première étape a souvent été de nommer un DPO, les entreprises ont pris un peu de recul et dédramatisé ce chantier.
Cependant, on observe que parfois les DPO nommés cumulent des fonctions. Ils sont en demande de soutien et d’appui. Le responsable de traitement doit se poser la question de la montée en compétence de ces équipes dédiées pour que les investissements réalisés ne soient pas vains. Un DPO non formé, c'est un investissement perdu et une prise de risque inutile pour le responsable de traitement. Sa formation doit être continue comme la mise en conformité elle-même.
À titre personnel, comment s'est opéré votre métier de DPO dans le contexte du confinement ?
Comme dans la plupart des cabinets, il est essentiel de conserver la proximité quelle que soit la situation. Ainsi, nous sommes très proches des équipes, notamment opérationnelles, chez nos clients que nous soyons leur DPO ou non.
Je tiens personnellement à cette proximité qui nous permet de répondre à leur question et ainsi de rassurer dans un contexte où il y a eu logiquement beaucoup d’angoisse, bien au-delà du RGPD évidemment.
Pendant le confinement, les sujets ont été plus centrés sur le travail à distance et la gestion de la sécurité des collaborateurs. Pendant le déconfinement, on nous interroge en particulier sur les questionnaires Covid-19, ceux relatifs aux retours des collaborateurs dans les locaux.
La CNIL a très rapidement pris position sur ces aspects et a utilement rappelé certains principes. Ces questions ont nécessairement préoccupé les responsables de traitement, alors que les projets en cours se sont poursuivis malgré tout.
Le confinement a posé la difficulté d'une migration massive vers des solutions 100 % numériques...
En effet, il a confronté les entreprises à une nécessaire mise à niveau de la documentation juridique encadrant la relation contractuelle, aussi bien pour les conditions générales d'utilisation que les conditions générales de vente, au-delà de la question des données personnelles. Une nécessité qui a ajouté de la pression à la pression, pour rendre pérenne ce qui a été mis en œuvre pendant ces semaines de confinement.
Deux ans de RGPD, mais il reste « des chantiers extrêmement complexes » selon Me Labruyère
-
En tant qu’avocate et DPO, quels enseignements tirez-vous après ces deux années d’application du RGPD ?
-
Avez-vous constaté une évolution auprès des autorités de contrôle ?
-
Et aujourd’hui ?
-
À titre personnel, comment s'est opéré votre métier de DPO dans le contexte du confinement ?
-
Le confinement a posé la difficulté d'une migration massive vers des solutions 100 % numériques...
Commentaires (11)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 25/05/2020 à 17h13
Perso je dis que c’est un raté, la loi a raté sa cible mais en plus ça a des effets de bord sur beaucoups de boites.
Le 25/05/2020 à 17h18
Idem, pas de « vrais » contrôles, quasi tous les sites sont en dehors des clous et impunis, et on est noyés sous des pop-ups invasives, au même résultat selon que l’on dise oui ou non.
Le 25/05/2020 à 17h46
Sur le papier, le GPDR est une bonne chose, mais comme dit plus haut, énormément de sites n’en respectent rien et il n’y a pas de contrôles, ce n’est pas demain la veille que je changerai mes habitudes de navigation et où je me passerai de uBlock Origin en mode avancé + Decentraleyes + ClearsURL dans Firefox en mode stricte avec blocage des sites HTTP + mon abo à Mullvad, oui ça peut paraître beaucoup et parano mais en fait non, sinon y a aussi Tor Browser, être safe tout en vous faisant passer pour Madamme Michou.
Le 25/05/2020 à 18h25
Le 25/05/2020 à 19h32
Exactement, exemple les empreintes digitales dont ma première méthode ne protège pas où très peu, même avec la protection dans about: config.
Le 25/05/2020 à 21h59
Le 25/05/2020 à 22h22
Effectivement, merci pour la correction maître Capello :p
Le 26/05/2020 à 07h44
Je pense que c’est surtout quelque chose qui arrive trop tard. Les Big Tech n’ont aujourd’hui pas besoin de données personnelles pour faire tous leurs traitements. Et pour les Facebook et consorts, tous les gens acceptent les traitements sans se poser de questions, ce qui leur permet de renforcer leurs algorithmes et IA.
Quand le consommateur européen voit une petite boite qui demande un accès aux données, le consommateur refuse.
Je pense qu’en Europe on prend un retard certain dans tous ces domaines de traitement de données, IA, etc.
Puis les interprétations de la CNIL qui varient tous les 6 mois, c’est juste chiant. Ça oblige à chaque fois à revoir les politiques de confidentialité, les traduire, etc… Ça a un coût pour les entreprises, et demande du temps.
Le 27/05/2020 à 16h47
Ce n’est pas une question d’acceptation du traitement des données qui est juste une partie minime des prérequis pour respecter le RGPD. Tu oublies le fondement juridique, la minimisation du recueil des données etc…
Certaines données ne peuvent pas être traitées même si consentement, hein.
Tu parles des gens qui refuse le traitement pour les PME européennes mais il est important d’informer le public à ce sujet pour que ce ne soit plus comme ça. Le traitement des données est important dans certains cas, il faut que les personnes s’en rendent compte.
Le 28/05/2020 à 06h17
Je n’ai pas dit que ce n’était que ça, mais dans l’esprit des gens ce n’est que ça.
Pour le reste, il y a quand même beaucoup de documents qui ont été publiés par la CNIL et les autorités européennes pour aider les entreprises.
La minimisation ça me parait logique, et ce n’est pas le plus compliqué à mettre en place.
Pour moi le problème c’est que pour les gros (type Facebook), les gens acceptent parce que, pour des raisons que j’ignore, ils ne peuvent se passer de Facebook). Pour les petits, le non fait des ravages.
Le 28/05/2020 à 09h49
C’est marrant, vous avez une vision extrêmement restrictive du RGPD et de son champ d’application. Vous ne voyez que le côté Web, qui est vraiment la face immergée de l’Iceberg et qui a en fait plus à voir avec la directive e-privacy que le RGPD.
Dans les entreprises et les institutions, le RGPD s’immisce dans toutes les strates de la gestion pour une meilleure prise en compte de la gestion des données (vos données) personnelles des clients, administrés, etc : contrats, marchés, processus, prise de décision, etc. C’est vraiment une obligation de changement de mentalité pour de nombreuses directions métier : RH, DSI, etc. Les contrôles des régulateurs s’opèrent peu sur les sites et les cookies, ils débarquent directement dans les locaux des entreprises ou des administrations publiques, et je peux vous dire que cela laisse des traces durables dans la façon de traiter les données. Le RGPD s’applique également aux fichiers sur de bonnes vieilles archives papier. Une entreprise qui balance à la benne des dossiers de son personnel pourra donc aussi être inquiétée pour sa gestion au sens du RGPD. Bref, c’est un règlement qui va bien au-delà du web et a une vraie incidence sur l’ensemble des métiers des entreprises et administrations pour une meilleure prise en compte des données personnelles.
Par ailleurs, Me Oriana Labruyère possède, à mon sens, une vision un peu biaisée de DPO externe. En effet, les entreprises ou administrations qui font appel à une prestation pour les missions de DPO gèrent cela comme un projet de mise en conformité (ce qui est bien décrit dans l’article) et considèrent ensuite qu’il n’y a plus ou peu de choses à faire, alors qu’en fait, c’est presque l’inverse. Sauf qu’eux ont une vision biaisée basée sur le prix de la prestation (surtout vu le niveau de facturation des cabinets d’avocats).