Eric Barbry, avocat associé du cabinet Racine

Avocat spécialisé dans le domaine de l’IP/IT & Data Protection au sein du cabinet Racine, je vous propose une nouvelle approche du droit, résolument pratique, basée sur mon expérience professionnelle : celle d’un avocat qui travaille sur le droit des technologies depuis plus de 25 ans.

J’ai souvent envie de pousser des coups de gueules, parfois, moins souvent je l’accorde volontiers, des coups de chapeau…

Je vous propose de partager mes émotions professionnelles tantôt favorables à une nouvelle règlementation, tantôt contre ; critiques (positives ou négatives) à propos de décisions de justices qui bousculent la vie digitale des entreprises.

Sans trahir le moindre secret professionnel il me parait important d’échanger sur les cas d’usage des entreprises confrontées à des nouvelles questions autour de l’usage des nouvelles technologies.

Mon propos se veut pragmatique et tente d’apporter des réponses pratiques pour absorber, aussi sereinement que possible, le choc juridique que constitue la transformation digitale de votre entreprise.

A propos de Racine :

Racine est un cabinet d’avocats français indépendant de droit des affaires qui réunit 200 avocats et juristes, répartis au sein de 7 bureaux.

Racine se caractérise par une approche « full service » en droit des affaires en conseil et contentieux et intervient pour des entreprises, issues de différents secteurs de l’industrie et des services, des organisations professionnelles et interprofessionnelles ainsi que des collectivités publiques.

Retrouvez les derniers articles de cette chronique :
Voir tous les articles

Ceux qui vivent cachés du RGPD, sont-ils plus heureux ?

Ce mois-ci, ni coup de gueule, ni coup de chapeau… mais un constat assez mitigé et des déceptions, sur le RGPD.

Ceux qui vivent cachés du RGPD, sont-ils plus heureux ?Je ne remets pas en cause le bien-fondé du texte. Il est clair que le RGPD est une avancée considérable en matière de droit des données à caractère personnel. Il oblige les entreprises et les acteurs publics à plus de « transparence » sur la manière dont les données sont traitées. Il confère aux gens de nouveaux droits et une manière un peu plus facile de les exercer. Il impose aux entreprises de « penser données personnelles » en amont des projets… c’est ce que l’on appelle le « data protection by design ». Il impose aussi une meilleure sécurisation des données. Le tout dans une démarche dite d’accountability itérative. C’est à l’entreprise de démontrer sa conformité et non à l’autorité de contrôle de démontrer le contraire d’une part ; et c’est à elle de contrôler régulièrement cette même conformité.

Toutes les entreprises et les acteurs publics devraient donc disposer de leur « politique RGPD » a communiquer à la Cnil à première demande.

« Si j’en crois le cours d’économie de ma fille (première ES), le monde se divise en 5 catégories… »

C’est la manière dont le texte est appliqué (ou pas) qui me pose question… 

Si j’en juge par les entreprises que je rencontre au quotidien, la mise en œuvre du RGPD est pour le moins contrastée… pour ne pas dire erratique…

Si j’en crois le cours d’économie de ma fille (première ES) le monde se divise en 5 catégories : les grandes entreprises, les ETI, les PME et les petites entreprises auxquels il faut ajouter les « acteurs publics ».

Si j’examine la situation voici ce que nous avons :

Toutes les grandes entreprises sont passées au RGPD… désignation d’un DPO monde, de DPO locaux, de relais locaux, etc. Politique ceci ou politique cela, démarches et process dans tous les sens… Mais 3 problèmes majeurs : l’international (quasiment impossible à gérer même avec des BCR, l’intra groupe ou les données se baladent allègrement et les données non structurées qui pullulent… Résultat, même avec une super démarche RGPD ces entreprises sont structurellement en danger ;

Les ETI se divisent en 2 catégories : le BtoC et le BtoB et ici nous observons une première « légende urbaine »… le RGPD c’est fait pour le BtoC ! Erreur 404 juridique ! S’il est vrai que les entreprises en BtoC sont plus exposées que les autres, les ETI du BtoB regorgent de données à commencer par celles de leurs… salariés. Or ces données sont particulièrement sensibles : données professionnelles, données personnelles, parfois données de santé et toujours données financières. Ici encore le risque est donc maximal.

Quant aux PME et aux petites entreprises je peux les ranger dans la même catégorie bercée d’une double illusion : « le RGPD c’est fait pour les grandes boites » et « la Cnil a autre chose à faire que de s’occuper des petits comme nous ». Dans cette catégorie il n’y a guère que les ESN (entreprises de services du numérique) qui, en leur qualité de « sous-traitantes » se sont emparées du problème (et encore une petite partie d’entre eux). Là ce n’est plus un « risque » mais un « sursis juridique ».

Reste les acteurs publics qui ne cessent de m’intriguer… ils sont, de par le RGPD, tenus de désigner un DPO et donc se doivent d’être les bons élèves de la classe et nombre d’entre eux lancent encore, 6 mois après le 25 mai des appels d’offres pour se mettre en conformité ! Je ne parle plus là de « sursis juridique » mais de « suicide juridique ». Je vous laisse en effet imaginer la criticité des données traitées par nos Mairies, nos départements ou nos régions.

« Les entreprises 100% conforme au RGPD sont-elles celles qui ont le plus de problèmes ? »

Pourtant en pratique, le RGPD n’est pas une démarche si compliquée et contrairement aux idées reçues les entreprises ont bien plus à y gagner qu’à y perdre.

Il suffit de répondre à 3 obligations :

• l’obligation d’information – il suffit pour se faire de rédiger des « politiques de protection de données », adaptées (clients/prospects, salariés, candidats, fournisseurs, citoyens…) ;

• une démarche organisationnelle appropriée : désignation ou non d’un DPO ou d’un responsable, adoption de quelques règles de gouvernance de la data ou encore d’un code de bonne conduite pour éviter aux salariés de faire tout et n’importe quoi avec les données de l’entreprise ;

• des mesures techniques adaptées : sécurité, audit, outils de détection, procédure d’urgence.

Le tout devant évidemment être décliné en fonction de la taille de l’entreprise, ses moyens, son activité et la criticité des données traitées.

Mais ma deuxième déception est plus grande encore… Car oui j’ai croisé des entreprises 100% ou presque conforme au RGPD (au moins mes clients) et au final ce sont elles qui ont le plus de problèmes ! Ceux qui vivent cachés du RGPD semblent heureux ; ceux qui vivent le RGPD vivent un véritable cauchemar…

Ceux qui vivent le RGPD ont adopté une « politique de données client », ils ont généralement crée une adresse mel spécifique pour que les gens exercent leurs droit donnees-personnelles@truc.fr ou dpo@machin.eu et que constatent-ils : une frénésie du droit d’accès et/ou de la suppression.

« Est-ce que traiter des données est devenue une faute ? »

Moi qui ai été désigné DPO externe pour plus de 30 entreprises et acteurs publics je reçois chaque jour des tonnes de demandes… de droit de ceci ou de droit de cela. La légalité de ces demandes n’est pas contestable, la quantité pose question, mais le plus inquiétant, c’est la manière dont les gens exercent leurs droits.

Pas de « bonjour » ni de « au revoir », passons… pas de « merci d’avance » ou de « s’il vous plait » passe encore, mais pourquoi tant d’agressivité dans les demandes exprimées. Dans 99,99% des cas, les messages sont inutilement agressifs, les exigences en terme de réactivité disproportionnées et contraire au droit (au mieux 24 /48h au pire « IMMEDIAT » (écrit en gros et en gras), et comportent la menace d’une saisine de Cnil.

Comme si traiter des données était devenu une faute…

Je pense qu’il est urgent que la Cnil propose des labels et autres formes de certification post RGPD pour que celles des entreprises qui sont aujourd’hui conformes au RGPD ne le vivent pas comme une « punition » mais comme une satisfaction, voir une plus-value.


Commenter

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *