Pour y voir plus clair dans le nouveau règlement européen sur la protection des données privées, l’avocat spécialisé François-Pierre LANI explique les points clefs à comprendre et à mettre en œuvre. Dans cette première partie, il revient sur le calendrier légal et sur trois piliers du RGPD.

François-Pierre LANI est avocat associé au sein du cabinet Derriennic Associés. Il est spécialiste en droit de l’informatique et des technologies nouvelles.

Cet article est le premier d’une série de cinq. Le deuxième abordera la question des données et des entreprises concernées par le RGPD. Le troisième se penchera sur les outils que l’on peut d’ores et déjà commencer à mettre en place pour atteindre la conformité. Le quatrième précisera les différentes étapes d’un projet de mise en conformité pour la DSI. Enfin, la cinquième partie de cet entretien reviendra sur les opportunités et les menaces que le RGPD représente pour les acteurs français.

En guise d’introduction, comment présenteriez-vous cette nouvelle loi ?

Déjà ce n’est pas une loi. C’est un règlement communautaire (dit « RGPD »).

Il a une date d’entrée en vigueur bien postérieure à sa date de publication puisqu’il n’entrera en vigueur que le 25 mai 2018. Par ailleurs, concernant les traitements antérieurs à cette date, les entreprises disposeront d’un délai de deux ans pour les mettre en conformité. Ce qui fait 2020.

Il y a donc un certain temps pour s’y adapter.piliersdurgpd

Ceci étant, les plus grosses entreprises (comme certains de nos clients côtés au CAC 40) ont déjà lancé leurs chantiers.

La particularité du règlement européen est qu’il est d’effet direct dans la loi nationale, contrairement à une directive européenne. On ne pourra invoquer l’inexistence d’une loi de transposition.

Une organisation – le G29 –, qui regroupe les représentants de toutes les autorités nationales de contrôle dont la CNIL, va émettre pendant cette durée de transition des recommandations, des précisions et des check-lists. Toute cette série d’actions sera réalisée durant l’année 2017.

Cela a déjà commencé avec le fameux DPO (Data Privacy Officer). On commence donc à avoir des précisions.

En résumé, le RGPD implique un processus étalé dans le temps, ce qui est nécessaire dans la mesure où ce règlement induit une démarche totalement différente de celle de la directive de 1995 – qui n’était autre qu’une traduction de notre loi de 1978. Ce qui montre au passage que les français sont depuis longtemps des précurseurs dans la protection des données personnelles.

Pourquoi cela change-t-il radicalement de loi de 1978 ?

Parce qu’on était jusqu’ici dans un processus de déclaration et d’autorisation. Le responsable du traitement – c’est-à-dire celui qui détermine les moyens et la finalité du traitement (et pas forcément celui qui le faisait ; à savoir le sous-traitant) – devait réaliser des formalités préalables auprès de la CNIL. Avec le RGPD, on passe dans une logique de responsabilisation (Accountability) : il appartient désormais au responsable du traitement de prendre toutes les mesures requises pour garantir la conformité dudit traitement. Il doit par ailleurs être en mesure de le démontrer, en cas de contrôle de la CNIL par exemple.

Pouvez-vous préciser cette notion un peu floue « d’accountability », visiblement très liée au RGDP ?

Le cadre juridique du RGPD se traduit en effet par un ensemble de nouveaux termes. L’« obligation de déclaration » n’existe plus. L’« obligation d’information » reste en tant que tel. Mais il y aussi l’« accountability ».

Nous n’avons pas vraiment d’équivalent en français. Ce principe est celui que j’ai décrit, c’est à dire une logique de conformité qui prend le pas sur la logique déclarative.

Le responsable du traitement est considéré comme acteur économique responsable. C’est à lui de prendre les mesures techniques et organisationnelles visant à garantir le respect de la règlementation. Il n’a plus à déclarer son traitement, ni à solliciter une autorisation préalable. En revanche, il se doit de tout documenter.

Le RGDP change donc radicalement la règle du jeu ?

Complètement. D’autant plus que la sanction n’est pas la même. Aujourd’hui, la CNIL peut infliger, en cas de manquement à la loi

« Informatique & Libertés » une sanction pouvant aller jusqu’à 3 millions d’euros. Demain, elle sera autorisée à infliger une amende administrative pouvant aller jusqu’à 20 millions d’euros.

Concrètement, comment cela doit-il se traduire dans les entreprises ?

Aujourd’hui c’est au sein de l’entreprise, et au sein des processus mêmes – depuis la conception du service ou du produit jusqu’à sa mise en œuvre – qu’il faut prendre en compte la problématique des données personnelles. On parle de « Privacy by design ».

C’est un nouveau concept, une nouvelle démarche, exactement comme un processus qualité.

Dans l’alimentaire par exemple, les grosses entreprises mettent en place un ensemble de règles pour assurer la traçabilité de la fabrication des aliments. Et bien en parallèle de ce processus, il y aura exactement la même chose pour les données. Et cela s’appellera « processus données personnelles ».

Evidemment cela ne concerne que les sociétés qui traitent de la donnée personnelle.

Autre évolution importante, le RGPD concerne aussi bien le responsable du traitement que le sous-traitant. Un grand nombre des obligations qui jusqu’ici ne concernaient que le responsable du traitement sont désormais également applicables aux sous- traitants. En cas de manquements, l’un et l’autre pourraient voir leur responsabilité engagée.