Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Deux ans de RGPD, mais il reste « des chantiers extrêmement complexes » selon Me Labruyère

2018-2020
Droit 5 min
Deux ans de RGPD, mais il reste « des chantiers extrêmement complexes » selon Me Labruyère
Crédits : 3D_generator/iStock

Le 25 mai 2018, entrait en application le règlement général pour la protection des données personnelles, le fameux RGPD. Dans nos colonnes, Me Oriana Labruyère, spécialisée sur ces questions, revient sur ce texte non sans évoquer l’épisode du confinement.

Ce règlement, que nous avions analysé ligne par ligne, concrétise le nouvel encadrement des traitements de données. À la clef, des droits confirmés, d’autres consacrés, mais surtout de nouvelles obligations pour les responsables de traitement.

Deux grandes lignes à retenir pour en comprendre les enjeux : d’une part, la mise en œuvre d’une logique de responsabilité. Si auparavant, les traitements exigeaient à tout le moins une déclaration préalable quand ce n’était pas une rugueuse autorisation, le RGPD fait peser sur les épaules des entreprises, mais également des personnes publiques, le soin de mettre en œuvre toutes les mesures adéquates pour garantir le respect du texte.

Dans un renversement de la charge de la preuve, il leur revient le soin de démontrer avoir respecté ses différentes obligations, puisqu’afficher une conformité faciale sans être conforme n'est que de la conformité cosmétique.

D’autre part, l’application extraterritoriale du texte a permis de porter ces grands principes au-delà des frontières à l’égard des entités ciblant des personnes résidantes en Europe. La question a été cruciale puisque préalablement, ce critère de la territorialité était sans cesse combattu par les entreprises mises en cause.

À l’heure du bilan, nous avons pu interroger Me Oriana Labruyère, avocate spécialisée sur le texte, et par ailleurs déléguée à la protection des données personnelles (DPO).

En tant qu’avocate et DPO, quels enseignements tirez-vous après ces deux années d’application du RGPD ?

Ils sont nombreux. En deux mots, je pense que le principal enseignement est lié à la réactivité des entreprises et de leurs collaborateurs. On observe un intérêt très fort des collaborateurs qui une fois dissipée l’appréhension autour du projet, s’intéressent et s’impliquent sur ce sujet.

Les entreprises font souvent preuve d’une grande agilité et d’une grande réactivité. Il reste cependant des chantiers extrêmement complexes notamment au niveau des durées de conservation et de la destruction. Au-delà de la culture de l’entreprise, ces questions dépendent du système d’information et des outils utilisés, l’agilité ici se compte en semestre.

On observe aussi que les gens ont parfois du mal à se parler, il y un manque de transversalité. Il y a aussi ceux qui refusent que les choses avancent sur le terrain du règlement, sans dogmatisme au regard de la réglementation, mais pour des considérations de politiques internes ou d'opportunité. Difficile de conduire un projet RGPD tout en menant d'autres projets d'envergure similaire au regard de la charge de travail induite.

Ils considèrent que c'est un ralentissement d'activités alors que ce n'est pas le cas. Il y a des bénéfices directs, la mise en conformité, mais aussi indirects : quand un tel projet est mené consciencieusement avec les moyens adaptés, le premier bénéficie est celui de la communication interne.

Avez-vous constaté une évolution auprès des autorités de contrôle ?

Oui, notamment au regard des sanctions récentes où les sociétés contrôlées n’étaient pas forcément des géants d’internet. On se souvient de Fizzup ou de Futura Internationale. Il faut s’attendre à ce que ces contrôles, notamment à distance, se multiplient.

Ça va dans le sens du RGPD qui impose aux États membres de veiller à l’effectivité des droits des personnes physiques. La crédibilité de ces réglementations est nécessairement fonction de ces aspects dans notre culture. En 2018, beaucoup de responsables de traitements ne s’estimaient pas prêts.

Et aujourd’hui ?

Aujourd’hui, la question n’est plus de savoir s’ils sont prêts, mais de savoir ce qu’ils mettent en œuvre. Après l’urgence de démarrer les projets de conformité, dont la première étape a souvent été de nommer un DPO, les entreprises ont pris un peu de recul et dédramatisé ce chantier.

Cependant, on observe que parfois les DPO nommés cumulent des fonctions. Ils sont en demande de soutien et d’appui. Le responsable de traitement doit se poser la question de la montée en compétence de ces équipes dédiées pour que les investissements réalisés ne soient pas vains. Un DPO non formé, c'est un investissement perdu et une prise de risque inutile pour le responsable de traitement. Sa formation doit être continue comme la mise en conformité elle-même.

À titre personnel, comment s'est opéré votre métier de DPO dans le contexte du confinement ?

Comme dans la plupart des cabinets, il est essentiel de conserver la proximité quelle que soit la situation. Ainsi, nous sommes très proches des équipes, notamment opérationnelles, chez nos clients que nous soyons leur DPO ou non.

Je tiens personnellement à cette proximité qui nous permet de répondre à leur question et ainsi de rassurer dans un contexte où il y a eu logiquement beaucoup d’angoisse, bien au-delà du RGPD évidemment.

Pendant le confinement, les sujets ont été plus centrés sur le travail à distance et la gestion de la sécurité des collaborateurs. Pendant le déconfinement, on nous interroge en particulier sur les questionnaires Covid-19, ceux relatifs aux retours des collaborateurs dans les locaux.

La CNIL a très rapidement pris position sur ces aspects et a utilement rappelé certains principes. Ces questions ont nécessairement préoccupé les responsables de traitement, alors que les projets en cours se sont poursuivis malgré tout.

Le confinement a posé la difficulté d'une migration massive vers des solutions 100 % numériques...

En effet, il a confronté les entreprises à une nécessaire mise à niveau de la documentation juridique encadrant la relation contractuelle, aussi bien pour les conditions générales d'utilisation que les conditions générales de vente, au-delà de la question des données personnelles. Une nécessité qui a ajouté de la pression à la pression, pour rendre pérenne ce qui a été mis en œuvre pendant ces semaines de confinement.

11 commentaires
Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 25/05/20 à 17:13:24

Perso je dis que c'est un raté, la loi a raté sa cible mais en plus ça a des effets de bord sur beaucoups de boites.

Avatar de tpeg5stan Abonné
Avatar de tpeg5stantpeg5stan- 25/05/20 à 17:18:13

Idem, pas de « vrais » contrôles, quasi tous les sites sont en dehors des clous et impunis, et on est noyés sous des pop-ups invasives, au même résultat selon que l'on dise oui ou non.

Édité par tpeg5stan le 25/05/2020 à 17:18
Avatar de QTrEIX Abonné
Avatar de QTrEIXQTrEIX- 25/05/20 à 17:46:16

Sur le papier, le GPDR est une bonne chose, mais comme dit plus haut, énormément de sites n'en respectent rien et il n'y a pas de contrôles, ce n'est pas demain la veille que je changerai mes habitudes de navigation et où je me passerai de uBlock Origin en mode avancé + Decentraleyes + ClearsURL dans Firefox en mode stricte avec blocage des sites HTTP + mon abo à Mullvad, oui ça peut paraître beaucoup et parano mais en fait non, sinon y a aussi Tor Browser, être safe tout en vous faisant passer pour Madamme Michou.

Avatar de Macarie Abonné
Avatar de MacarieMacarie- 25/05/20 à 18:25:39

QTrEIX a écrit :

Sur le papier, le GPDR est une bonne chose, mais comme dit plus haut, énormément de sites n'en respectent rien et il n'y a pas de contrôles, ce n'est pas demain la veille que je changerai mes habitudes de navigation et où je me passerai de uBlock Origin en mode avancé + Decentraleyes + ClearsURL dans Firefox en mode stricte avec blocage des sites HTTP + mon abo à Mullvad, oui ça peut paraître beaucoup et parano mais en fait non, sinon y a aussi Tor Browser, être safe tout en vous faisant passer pour Madamme Michou.

Et dit toi que malgré tous ca, il existe encore d'autre méthode de pistage moins connue qui peuvent te tombé dessus sans prévenir, sale période pour la vie privée.

Avatar de QTrEIX Abonné
Avatar de QTrEIXQTrEIX- 25/05/20 à 19:32:28

Exactement, exemple les empreintes digitales dont ma première méthode ne protège pas où très peu, même avec la protection dans about: config.

A ma connaissance, seule l'utilisation de Tor protège des empreintes digitales parce qu'ils protège ton identité en ligne en te faisant ressembler a plusieurs internautes lambdas, il ne faut pas installer d'add-ons sur Tor ni enregistrer tes paramètres au risque que l'utilité de Tor soit compromise, sur un navigateur classique, plus il y a addons, plus ton empreinte se renforce et moins tu es noyé dans la foule. Mais voilà, la sécurité/vie privée en ligne comporte des compromis et il est important de d'abord définir son modèle de ménace, de quoi ou de qui vous voulez vous protéger en plus d'être en connaissance des risques, on en voit pleins sur des forums qui veulent des protections comme Edward Snowden alors qu'elles ne sont pas des cibles, comme ne pas vouloir utiliser un smartphone (oui j'ai lu ça) alors que mème Snowden en utilise un, il fait juste attention à ce qu'il y fait et ce qu'il installe ![:windu:](https://cdn2.nextinpact.com/smileys/windu.gif)
Édité par QTrEIX le 25/05/2020 à 19:37
Avatar de Ne2l Abonné
Avatar de Ne2lNe2l- 25/05/20 à 21:59:49

QTrEIX a écrit :

Exactement, exemple les empreintes digitales dont ma première méthode ne protège pas où très peu, même avec la protection dans about: config. 

numériques
:cap:

Avatar de QTrEIX Abonné
Avatar de QTrEIXQTrEIX- 25/05/20 à 22:22:58

Effectivement, merci pour la correction maître Capello :p

Avatar de Ohmydog Abonné
Avatar de OhmydogOhmydog- 26/05/20 à 07:44:27

Je pense que c'est surtout quelque chose qui arrive trop tard. Les Big Tech n'ont aujourd'hui pas besoin de données personnelles pour faire tous leurs traitements. Et pour les Facebook et consorts, tous les gens acceptent les traitements sans se poser de questions, ce qui leur permet de renforcer leurs algorithmes et IA. 
Quand le consommateur européen voit une petite boite qui demande un accès aux données, le consommateur refuse. 
Je pense qu'en Europe on prend un retard certain dans tous ces domaines de traitement de données, IA, etc. 

Puis les interprétations de la CNIL qui varient tous les 6 mois, c'est juste chiant. Ça oblige à chaque fois à revoir les politiques de confidentialité, les traduire, etc... Ça a un coût pour les entreprises, et demande du temps. 

Avatar de swiper Abonné
Avatar de swiperswiper- 27/05/20 à 16:47:44

Ce n'est pas une question d'acceptation du traitement des données qui est juste une partie minime des prérequis pour respecter le RGPD. Tu oublies le fondement juridique, la minimisation du recueil des données etc...
Certaines données ne peuvent pas être traitées même si consentement, hein.
Tu parles des gens qui refuse le traitement pour les PME européennes mais il est important d'informer le public à ce sujet pour que ce ne soit plus comme ça. Le traitement des données est important dans certains cas, il faut que les personnes s'en rendent compte.

Avatar de Ohmydog Abonné
Avatar de OhmydogOhmydog- 28/05/20 à 06:17:52

Je n'ai pas dit que ce n'était que ça, mais dans l'esprit des gens ce n'est que ça. 
Pour le reste, il y a quand même beaucoup de documents qui ont été publiés par la CNIL et les autorités européennes pour aider les entreprises. 
La minimisation ça me parait logique, et ce n'est pas le plus compliqué à mettre en place. 
Pour moi le problème c'est que pour les gros (type Facebook), les gens acceptent parce que, pour des raisons que j'ignore, ils ne peuvent se passer de Facebook). Pour les petits, le non fait des ravages. 

Il n'est plus possible de commenter cette actualité.
Page 1 / 2