Le 25 mai 2018, entrait en application le règlement général pour la protection des données personnelles, le fameux RGPD. Dans nos colonnes, Me Oriana Labruyère, spécialisée sur ces questions, revient sur ce texte non sans évoquer l’épisode du confinement.
Ce règlement, que nous avions analysé ligne par ligne, concrétise le nouvel encadrement des traitements de données. À la clef, des droits confirmés, d’autres consacrés, mais surtout de nouvelles obligations pour les responsables de traitement.
Deux grandes lignes à retenir pour en comprendre les enjeux : d’une part, la mise en œuvre d’une logique de responsabilité. Si auparavant, les traitements exigeaient à tout le moins une déclaration préalable quand ce n’était pas une rugueuse autorisation, le RGPD fait peser sur les épaules des entreprises, mais également des personnes publiques, le soin de mettre en œuvre toutes les mesures adéquates pour garantir le respect du texte.
Dans un renversement de la charge de la preuve, il leur revient le soin de démontrer avoir respecté ses différentes obligations, puisqu’afficher une conformité faciale sans être conforme n'est que de la conformité cosmétique.
D’autre part, l’application extraterritoriale du texte a permis de porter ces grands principes au-delà des frontières à l’égard des entités ciblant des personnes résidantes en Europe. La question a été cruciale puisque préalablement, ce critère de la territorialité était sans cesse combattu par les entreprises mises en cause.
À l’heure du bilan, nous avons pu interroger Me Oriana Labruyère, avocate spécialisée sur le texte, et par ailleurs déléguée à la protection des données personnelles (DPO).
En tant qu’avocate et DPO, quels enseignements tirez-vous après ces deux années d’application du RGPD ?
Ils sont nombreux. En deux mots, je pense que le principal enseignement est lié à la réactivité des entreprises et de leurs collaborateurs. On observe un intérêt très fort des collaborateurs qui une fois dissipée l’appréhension autour du projet, s’intéressent et s’impliquent sur ce sujet.
Les entreprises font souvent preuve d’une grande agilité et d’une grande réactivité. Il reste cependant des chantiers extrêmement complexes notamment au niveau des durées de conservation et de la destruction. Au-delà de la culture de l’entreprise, ces questions dépendent du système d’information et des outils utilisés, l’agilité ici se compte en semestre.
On observe aussi que les gens ont parfois du mal à se parler, il y un manque de transversalité. Il y a aussi ceux qui refusent que les choses avancent sur le terrain du règlement, sans dogmatisme au regard de la réglementation, mais pour des considérations de politiques internes ou d'opportunité. Difficile de conduire un projet RGPD tout en menant d'autres projets d'envergure similaire au regard de la charge de travail induite.
Ils considèrent que c'est un ralentissement d'activités alors que ce n'est pas le cas. Il y a des bénéfices directs, la mise en conformité, mais aussi indirects : quand un tel projet est mené consciencieusement avec les moyens adaptés, le premier bénéficie est celui de la communication interne.
Avez-vous constaté une évolution auprès des autorités de contrôle ?
Oui, notamment au regard des sanctions récentes où les sociétés contrôlées n’étaient pas forcément des géants d’internet. On se souvient de Fizzup ou de Futura Internationale. Il faut s’attendre à ce que ces contrôles, notamment à distance, se multiplient.
Ça va dans le sens du RGPD qui impose aux États membres de veiller à l’effectivité des droits des personnes physiques. La crédibilité de ces réglementations est nécessairement fonction de ces aspects dans notre culture. En 2018, beaucoup de responsables de traitements ne s’estimaient pas prêts.
Et aujourd’hui ?
Aujourd’hui, la question n’est plus de savoir s’ils sont prêts, mais de savoir ce qu’ils mettent en œuvre. Après l’urgence de démarrer les projets de conformité, dont la première étape a souvent été de nommer un DPO, les entreprises ont pris un peu de recul et dédramatisé ce chantier.
Cependant, on observe que parfois les DPO nommés cumulent des fonctions. Ils sont en demande de soutien et d’appui. Le responsable de traitement doit se poser la question de la montée en compétence de ces équipes dédiées pour que les investissements réalisés ne soient pas vains. Un DPO non formé, c'est un investissement perdu et une prise de risque inutile pour le responsable de traitement. Sa formation doit être continue comme la mise en conformité elle-même.
À titre personnel, comment s'est opéré votre métier de DPO dans le contexte du confinement ?
Comme dans la plupart des cabinets, il est essentiel de conserver la proximité quelle que soit la situation. Ainsi, nous sommes très proches des équipes, notamment opérationnelles, chez nos clients que nous soyons leur DPO ou non.
Je tiens personnellement à cette proximité qui nous permet de répondre à leur question et ainsi de rassurer dans un contexte où il y a eu logiquement beaucoup d’angoisse, bien au-delà du RGPD évidemment.
Pendant le confinement, les sujets ont été plus centrés sur le travail à distance et la gestion de la sécurité des collaborateurs. Pendant le déconfinement, on nous interroge en particulier sur les questionnaires Covid-19, ceux relatifs aux retours des collaborateurs dans les locaux.
La CNIL a très rapidement pris position sur ces aspects et a utilement rappelé certains principes. Ces questions ont nécessairement préoccupé les responsables de traitement, alors que les projets en cours se sont poursuivis malgré tout.
Le confinement a posé la difficulté d'une migration massive vers des solutions 100 % numériques...
En effet, il a confronté les entreprises à une nécessaire mise à niveau de la documentation juridique encadrant la relation contractuelle, aussi bien pour les conditions générales d'utilisation que les conditions générales de vente, au-delà de la question des données personnelles. Une nécessité qui a ajouté de la pression à la pression, pour rendre pérenne ce qui a été mis en œuvre pendant ces semaines de confinement.
