Retrouvez-nous sur :

Le RGPD, l’arbre et la forêt : se préparer et anticiper

François Coupez,

Avocat à la Cour, Associé co-fondateur du cabinet ATIPIC Avocat
Titulaire du certificat de spécialiste en droit des nouvelles technologies (CNB), Membre de l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP)
Chargé d’enseignements (Université Paris 2 Panthéon-Assas, CELSA, Institut Léonard de Vinci, Université Dauphine, Université de Sceaux)

Qui à l’heure actuelle peut encore ignorer ces 4 lettres : RGPD (ou GDPR pour les anglophones) ? Ce règlement européen entre en application le 25 mai 2018, deux ans après son adoption ; il renforce fortement le cadre européen applicable à la protection des données à caractère personnel (pour plus de détails, voir notre analyse, ainsi que l’article de Louise JACQUELIN), dont la loi du 6 janvier 1978 en France.

La définition de ces données étant très large, le texte concerne la majorité des bases de données que les entreprises ou les entités du secteur public sont amenées à constituer. Au vu des très fortes sanctions (jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, ou 20 millions d’euros pour les entités étant dépourvus de CA tels que les associations et les collectivités territoriales) qui peuvent susciter la crainte, la conformité RGPD devient un nouveau business en soi, très florissant pour certains acteurs qui ont opportunément surgi de nulle part.

 

La situation est telle que le régulateur en la matière, la CNIL, a publiquement dénoncé à plusieurs reprises les « agissements de sociétés promettant de manière peu scrupuleuse une mise en conformité « clé en main » au RGPD » en insistant « sur les sanctions financières encourues ». La CNIL a rappelé que la « mise en conformité au RGPD nécessite plus qu’un simple échange ou l’envoi d’une documentation sur le RGPD. Elle suppose un vrai accompagnement, par une personne qualifiée en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps ».

 

Et pourtant, de vrais spécialistes proposant des audits précis et une assistance efficace, il en existe.

Mais ils ne travaillent pas seuls. En effet, la conformité au RGPD n’est pas que juridique, elle nécessite l’apport coordonné de plusieurs expertises pour agir sur trois piliers essentiels : organisationnel, technique et juridique.

Seule une approche intégrant ces trois aspects permet de mettre en œuvre de façon efficace les principes découlant du RGPD, étant entendu que la plupart des collectivités territoriales ont déjà un acquis sur le sujet sur lequel s’appuyer :

  • cartographie des traitements existants ;
  • identification des données traitées ;
  • détermination des fondements juridiques permettant leur traitement ;
  • création / mise à jour d’un registre des traitements ;
  • transparence des informations à communiquer ;
  • construction et sécurisation de traitements orientés « privacy by design» ;
  • documentation de l’ensemble de la chaîne de traitement et des décisions prises ;
  • nomination obligatoire de Délégués à la Protection des Données (DPD/DPO) pour les entités du secteur public ;
  • réalisation d’études d’impact sur la vie privée dans les cas où les traitements ont les conséquences les plus graves pour les personnes ;
  • création des processus de notification des violations de données personnelles ;
  • développement de solutions de portabilité des données dans les cas qui le nécessitent ;

 

Les relations avec les sous-traitants doivent également, dans la plupart des cas, être revues, notamment au niveau des processus achat : en effet, le RGPD impose de ne sous-traiter le traitement des données qu’à des opérateurs économiques eux-mêmes conformes au RGPD.

 

Par ailleurs, si cette conformité est un chantier d’importance, le RGPD ne doit pas être l’arbre cachant  la forêt des autres textes récents ou à venir en matière de protection des données ou de sécurisation du système d’information : Code de la défense pour les Opérateurs d’Importance Vitale (via la Loi de Programmation Militaire 2013), loi du 26 février 2018 pour les Opérateurs de Services Essentiels et les Fournisseurs de Service Numérique (transposition de la directive NIS), projet de règlement européen ePrivacy en cours de discussion, obligations spécifiques aux secteurs de la santé, des paiements électroniques ou encore des opérateurs de service de confiance, etc.

 

Face à cette vague de fond réglementaire, il est indispensable d’anticiper la mise en conformité afin d’éviter de multiplier les budgets et de diluer l’efficacité. L’anticipation est d’autant plus nécessaire que les mécanismes imposés (directement ou indirectement) par le RGPD sont appelés à s’inscrire dans la durée.

Heureusement, conformité ne rime plus forcément avec budgets mirobolants : les collectivités territoriales peuvent ainsi s’appuyer sur des solutions permettant de mutualiser les organisations ou les travaux à mettre à œuvre (DPD externe mutualisé, clauses contractuelles, sécurisation technique, etc.).

 

Alors, qu’attendons-nous ?

 

ATIPIC Avocat
31 Boulevard Malesherbes
75008 Paris
www.atipic.legal
contact@atipic.legal