Loading…

Conseil en affaires européennes.

Participer à des financements européens, maîtriser les enjeux réglementaires et susciter des intérêts auprès des décideurs au niveau européen.
Commencez à explorer

Le Règlement Général sur la Protection des Données à l’Ecole des Avocats Aliénor [formation]

Il est peu dire que la question de la protection des données personnelles a reçu une large couverture médiatique depuis une dizaine d’années.

 

La sensibilité du sujet pour les citoyens s’est accentuée au gré des révélations : celles bien entendu d’Edward Snowden sur la surveillance de masse par les agences nationales de renseignement, auxquelles ont succédé ces dernières années les annonces de grands opérateurs quant aux failles de sécurité subies.

 

Cette médiatisation s’est accentuée depuis la présentation par la Commission européenne en 2012 d’une proposition législative, qui au terme de quatre années de négociation a débouché sur l’édiction du Règlement Général sur la Protection des Données (RGPD). Ce texte poursuit l’objectif général de rendre aux citoyens européens le pouvoir sur leurs données. Il emporte des conséquences importantes pour l’ensemble des acteurs économiques, collectivités publiques et associations qui vont devoir se mettre en conformité avec les nouvelles obligations et exigences d’ici le 25 mai 2018, date d’entrée en application du RGPD dans l’ensemble des Etats membres de l’Union européenne.

 

 

Il en va de la préservation de l’image de marque et de la relation de confiance avec les clients ou le grand public. Les cabinets avocats n’y font pas exception, comme Sébastien Blanchard a pu le rappeler à l’occasion de la formation continue organisée par l’Ecole des Avocats Aliénor le 8 février dernier.

 

 

Notions et champ d’application

Le RGPD a retenu une définion large des données personnelles : données liées à l’identité (nom, âge, adresse IP…), aux relations (réseaux sociaux, liens professionnels…), contenus (photos, vidéos, conversations mail…)… Cette notion est basée sur le concept d’identification des personnes physiques, ce qui implique que l’agrégation de plusieurs données non personnelles peut constituer une donnée personnelle.

 

De même, le traitement de données recouvre de multiples formes d’opérations, que celles-ci soient effectuées à l’aide de procédés automatisés ou non : stockage, extraction, modification…

 

Une des caractéristiques essentielles du RGPD tient également à son champ d’application territorial étendu. En effet, l’article 3 du règlement prévoit que les règles s’appliquent tant aux traitements de données mis en œuvre par un responsable ou un sous-traitant établi sur le territoire de l’Union européenne, qu’aux traitements concernant des personnes se trouvant sur le territoire de l’Union par un responsable/sous-traitant non établi dans un Etat membre. Les législateurs ont bien entendu souhaité viser ici les célèbres GAFA (Google, Apple, Facebook, Amazon), qui devront respecter les règles du jeu européennes et ainsi préserver une certaine réciprocité et concurrence loyale.

 

 

Renforcement et création de nouveaux droits

Le RGPD reprend de nombreux principes connus en droit français depuis la loi Informatique & Libertés de 1978 et en droit européen depuis la directive européenne de 1995, tels les principes de licéité, de transparence ou encore d’accès aux données détenues, qu’ils consolident considérablement. Ainsi, les modalités d’octroi du consentement au traitement sont harmonisées au plan européen et renforcées : le consentement doit désormais être express et non ambiguë, c’est-à-dire qu’il doit résulter d’un acte positif. Le droit à l’information est lui aussi affermi par le RGPD, ce dernier listant un certain nombre de mentions et éléments obligatoires devant être communiqués avant tout traitement.

 

Le RGPD consacre également de nouveaux droits. Le droit à l’effacement des données ou à l’oubli numérique a déjà été largement médiatisé depuis le fameux arrêt « Google Spain » rendu en Grande Chambre de la Cour de justice de l’Union européenne en mai 2014. Les demandes de déréférencement de liens par les moteurs de recherche ont ainsi littérallement explosé ces dernières années en France, même s’il s’avère nécessaire de trouver un bon équilibre entre la mise en œuvre de ce droit et les exigences du respect de la liberté d’expression ou de la capacité à la recherche.

 

L’objectif principal du RGPD de redonner aux citoyens la maitrise de leurs données personnelles transparait aussi dans l’érection d’un principe de portabilité des données. Chacun dispose ainsi du droit de solliciter la récupération des données fournies à un opérateur sous une forme aisément réutilisable, afin de les transférer ensuite vers un autre fournisseur de services. Les exigences minimales du RGPD liées à l’établissement d’un « format structuré, couramment utilisé et lisible par machine » semblent d’ailleurs créer quelques difficultés pratiques pour la profession d’avocat, dans la situation de transfert d’un dossier entre avocats à la demande d’un client.

 

 

 

Nouvelles logiques induisant une révolution copernicienne pour les entreprises

De nouvelles logiques au cœur même de la mise en œuvre du RGPD engendrent une vraie révolution pour l’ensemble des acteurs économiques concernés par la protection des données personnelles.

 

D’une part, la quasi-suppression du mécanisme de déclaration/autorisation auprès des autorités nationales de protection des données,  lequel était au centre du jeu de la loi Informatique & Libertés, a laissé place nette à une obligation de conformité documentée. Ce principe d’accountability, concept d’origine anglo-saxonne lié à la logique de compliance, amène à ce que le responsable du traitement mette en œuvre des mesures pour s’assurer et être en mesure de démontrer que le traitement de données est conforme. On est donc là dans une vraie démarche de responsabilisation des acteurs économiques, qui doivent se mettre dans la situation d’avoir à rendre des comptes. La mise en place d’une politique d’entreprise appropriée, la tenue d’un registre des traitements ou la création d’un code de conduite sont quelques exemples d’instruments de preuve essentiels pour documenter et démontrer son action auprès d’une autorité de contrôle.

 

D’autre part, les exigences de privacy by design et security by default, c’est-à-dire de protection de la vie privée dès la phase d’élaboration des outils technologiques susceptibles d’utiliser des données personnelles et de sécurisation technologique des traitements, impliquent que l’ensemble des services d’une entreprise sont concernés par la garantie de standards élevés de protection. Service juridique, responsable des systèmes d’information, service marketing ou service commercial…tous ces acteurs doivent travailler main dans la main pour assurer le respect des règles du RGPD. La nomination d’un délégué à la protection des données (Data Protection Officer ou DPO), qu’il soit interne ou prestataire externe, mutualisé ou non, est certainement la clé pour organiser un pilotage efficace du processus de mise en conformité requis par le RGPD. L’expertise et l’indépendance de ce DPO, qui d’ailleurs peut avoir la qualité d’avocat au titre de l’article 6.3.3. du Règlement Intérieur National de la profession d’avocat, seront des atouts indéniables pour assurer une sécurité juridique et une conformité maximale.

 

Image result for RGPD privacy by desin

Les sanctions prévues par le RGPD, largement dissuasives (jusqu’à 20 millions d’euros ou 4% du CA annuel mondial HT pour les entreprises), devraient d’ailleurs finir de convaincre les derniers sceptiques de l’importance d’être prêt d’ici le 25 mai prochain.