Jean-Baptiste Soufron : Comprendre la nouvelle réglementation RGDP

jbsoufron

A partir de mai 2018, quelles opportunités et quelles contraintes face au nouveau règlement data protection/RGDP ?

Le Règlement général sur la protection des données (RGDP), qui rentrera en vigueur dans moins d’un an, modifiera en profondeur la gestion et la conservation des données personnelles par les organismes publics et privés. Jean-Baptiste Baptiste Soufron, avocat, nous aide à  comprendre l’esprit de cette nouvelle réglementation, mesurer les obligations qui l’accompagnent et en détecter les opportunités.

Par Jean-Baptiste Soufron, Avocat associé chez FWPA Avocats

Avant les vacances d’été, le compte à rebours est commencé pour les entreprises et les institutions qui devront se mettre en règle avec le nouveau règlement européen sur les données personnelles, et ce avant le 25 mai 2018 puisque celui-ci sera d’application directe.

L’objectif avoué de ces réformes est de susciter le développement rapide d’une véritable industrie de la donnée en Europe, en créant des opportunités pour les entreprises afin d’aboutir à plus de confiance, à une meilleure circulation des données, à une clarification des responsabilités.

Pour reprendre l’expression de Isabelle Falrque-Pierrotin, la Présidente de la CNIL, « la période du chèque en blanc sur les données est terminée ». D’une part, le nouveau régime garantit la sécurité juridique des entreprises européennes et étrangères à conditions qu’elles respectent désormais les mêmes règles communes et qu’elles évitent le simple pillage des données des citoyens. D’autre part, les entreprises européennes pourront profiter d’un certain nombre d’outils inspirés du droit de la concurrence afin d’être capable de faire face aux GAFA, y compris lorsque le rapport de force économique n’est pas en leur faveur.

Les nouveautés sont nombreuses telles que le droit à l’oubli, la portabilité des données, un encadrement de certains algorithmes, une meilleure protection pour les données des mineurs, une obligation d’information en cas de piratage, la mise en place quasi-systématique du Digital Privacy Officer, etc.

Par exemple, la désignation d’un DPO devient désormais obligatoire pour : les autorités ou les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, et les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions… autant dire presque l’ensemble des acteurs de la révolution numérique.

De façon générale, l’objectif du texte a consisté à trouver un équilibre entre les besoins des acteurs et le désir des citoyens de reprendre la main sur leurs données. À défaut, le risque aurait été de tomber dans l’auto-régulation sauvage, comme par exemple l’émergence massive des bloqueurs de publicité.

Reste à comprendre comment profiter de ce texte pour le traduire par des opportunités stratégiques, et non pas seulement comme une contrainte réglementaire.

1.

Dans ce cadre, il est d’abord important de revenir sur l’historique des dernières années de régulation des données en Europe, de reprendre les étapes de la négociation du règlement, ainsi que les différentes jurisprudences européennes qui ont développé et clarifié un certain nombre de nouveaux concepts adaptés aux usages récents et aux réseaux sociaux tels que le droit à l’oubli ou la remise en cause des transferts de données internationaux.

2.

Ceci étant dit, il faut s’intéresser aux détails du règlement, et à ce qu’il transforme pour les entreprises et les institutions, non seulement en termes de simplification ou de complexification – par exemple en ce qui concerne le nouveau rôle quasi-obligatoire du Digital Privacy Officer, mais en ce qu’il traduit comme intérêts stratégiques et comme nouvelles opportunités – par exemple au niveau du droit à la portabilité destiné à prévenir les phénomènes de lock-in numérique, ou au regard des nouveaux pouvoirs d’amende qui auront nécessairement un impact sur le respect de la législation européenne par les acteurs étrangers.

3.

Plus généralement, il sera nécessaire de prendre en compte les nouvelles valeurs qui devront servir de guide à l’application du règlement : le privacy by design, c’est-à-dire le respect de la protection des données dès la conception d’un produit ou d’une société ainsi que la minimisation de la collecte ; le privacy by default, c’est-à-dire la capacité à procurer un niveau de sécurité élevé concernant la collecte de la data ; et l’accountability, visant à assurer une véritable transparence et traçabilité vis-à-vis des autorités concernées.

Plus soucieux de la sécurité, et de façon plus logique par rapport aux autres obligations qui relèvent par exemple de la LCEN, il faudra désormais être en état de déclarer sous 72h une violation des données personnelles en cas de faille informatique, mais aussi de tenir ou faire tenir le registre de ses données, de former son personnel et d’apprendre à être capable de dialogue sur ces sujets, à la fois avec ses consommateurs mais aussi avec la CNIL et le G29 – le regroupement des CNIL européennes.

4.

Enfin, il est pertinent de se demander comment ce règlement pourra se déployer vis-à-vis des nouvelles technologies qui commencent à apparaître, notamment dans le champ de l’Internet des Objets, de l’Intelligence Artificielle et des algorithmes. Des réflexions prospectives sont en cours sur ces questions – par exemple dans le cadre du séminaire de prospective de la CNIL, mais elles risquent d’être rapidement dépassées par l’apparition et la généralisation rapides des usages, et de leurs dérives.

5.

À ce stade, il faut avoir conscience qu’il est possible aux acteurs qui le souhaitent d’intervenir dans la façon dont ce règlement finira par s’appliquer. Étant donné l’important changement de paradigme qu’il provoque, une procédure de consultation a été mise en place par la CNIL et le G29. Plusieurs thèmes ont déjà été traités : la portabilité, le délégué à la protection des données ou le principe de l’autorité chef de file. D’autres sont encore ouverts ou ont vocation à l’être prochainement : l’étude d’impact sur la vie privée (PIA), la certification, la notification de violations de données personnelles, le consentement et le profilage. Ils sont autant d’occasion pour permettre à ceux qui le souhaitent de faire directement valoir leurs intérêts stratégiques et d’améliorer leur activité.

Pour aller plus loin

Retrouvez Jean-Baptiste Soufron, Cédric Mora, (Product Manager – Blue DME) et Sophie Pène (vice-présidente du CNNum), et d’autres intervenants, le mardi 4 juillet 2017 chez Cap Digital pour une table ronde dédiée à l’impact de la RGPD.

Je m’inscris