Eric Barbry, avocat associé du cabinet Racine

Avocat spécialisé dans le domaine de l’IP/IT & Data Protection au sein du cabinet Racine, je vous propose une nouvelle approche du droit, résolument pratique, basée sur mon expérience professionnelle : celle d’un avocat qui travaille sur le droit des technologies depuis plus de 25 ans.

J’ai souvent envie de pousser des coups de gueules, parfois, moins souvent je l’accorde volontiers, des coups de chapeau…

Je vous propose de partager mes émotions professionnelles tantôt favorables à une nouvelle règlementation, tantôt contre ; critiques (positives ou négatives) à propos de décisions de justices qui bousculent la vie digitale des entreprises.

Sans trahir le moindre secret professionnel il me parait important d’échanger sur les cas d’usage des entreprises confrontées à des nouvelles questions autour de l’usage des nouvelles technologies.

Mon propos se veut pragmatique et tente d’apporter des réponses pratiques pour absorber, aussi sereinement que possible, le choc juridique que constitue la transformation digitale de votre entreprise.

A propos de Racine :

Racine est un cabinet d’avocats français indépendant de droit des affaires qui réunit 200 avocats et juristes, répartis au sein de 7 bureaux.

Racine se caractérise par une approche « full service » en droit des affaires en conseil et contentieux et intervient pour des entreprises, issues de différents secteurs de l’industrie et des services, des organisations professionnelles et interprofessionnelles ainsi que des collectivités publiques.

Retrouvez les derniers articles de cette chronique :
Voir tous les articles

Brexit dur & RGPD : quand l’UE propose 4 solutions alors que vous n’en avez qu’une !

Je me suis dit qu’il était temps de m’intéresser au Brexit comme tout le monde. Alors j’ai fait comme tous les spécialistes des données personnelles font : je suis allé sur le site de la Cnil et j’ai lu ceci :

Brexit dur & RGPD : quand l’EU propose 4 solutions alors que vous n’en avez qu’une !

J’avoue que j’ai longtemps hésité à cliquer sur « oui » ou sur « non »… Mon esprit critique me poussait à cliquer « non » car je trouvais la réponse par trop « light » comme on dit dans la langue de Shakespeare. Mais finalement j’étais assez content de la réponse « S’agissant des conséquences juridiques du Brexit (…) l’ICO a d’ores et déjà précisé sur son site qu’un niveau de protection des données personnelles serait maintenu au Royaume Uni ».

Sauvé, si l’ICO le dit c’est que cela doit être vrai… Mais ça c’était avant. Depuis tout le monde s’inquiète un peu d’un Brexit dur. Et voici ce qu’a publié sur ce point l’European Data protection Board.

Brexit dur & RGPD : quand l’EU propose 4 solutions alors que vous n’en avez qu’une !

C’est là que je me rends compte qu’il y a un monde entre ceux qui pensent le droit… et ceux qui le mettent œuvre !
Car Mesdames, Messieurs, vous qui travaillez avec une société de sa Gracieuse Majesté quoi que pense l’ICO du niveau de protection de son pays, vous n’avez que 4 options :

Option 1 – Des BCR – Dans ce cas-là, bonne chance ! Adopter des BCR avant le 30 mars, j’en ris d’avance tant la procédure est lente. Heureux ceux qui ont déjà des BCR et qui pourront y intégrer leurs amis et filiales britanniques. Mais ils sont peu nombreux.

Option 2 – Un code de conduite – Il s’agit de codes de conduite élaborés par les professionnels (fédérations ou associations professionnelles), validés par l’autorité de contrôle et dont le respect est contrôlé par un tiers. Un seul problème… à ce jour, il n’en existe pas !

Option 3 – Les exceptions – vous les connaissez par cœur mais je préfère vous les rappeler : motif d’intérêt public, exercice des droits de la défense, sauvegarde des intérêts vitaux de la personne ou encore les registres publics. Vous allez me dire qu’il en manque 3 et vous aurez raison :

  1. Le consentement = vous pouvez donc dès demain « redemander » à tous vos clients s’ils sont d’accords pour que des traitements aient lieu en Angleterre
  2. L’exécution d’un contrat à la demande de la personne concernée (c’est à peu près pareil)
  3. Le transfert nécessaire dans le cadre d’un contrat conclu « dans l’intérêt de la personne concernée »

Quand j’ai présenté ces 3 solutions au CDO d’une filiale d’une grande boite j’ai cru que ma dernière heure était arrivée.

Option 4 – Mettre en œuvre les clauses contractuelles types (CCT) adoptés par la Commission européenne.

On le voit bien, en pratique, sauf pour ceux qui ont déjà des BCR, il n’existe donc qu’une seule solution : mettre en œuvre des clauses contractuelles types de l’EU ou des clauses ad hoc.

Bon d’accord, les clauses contractuelles standards ne sont pas à jour du RGPD… mais bon, comme dit la Cnil :

Les modèles de clauses contractuelles types sont toujours d’actualité  et peuvent être utilisées dans l’attente d’une prochaine mise à jour. 

CQFD, en cas de Brexit dur, si vous travaillez avec nos amis anglais et n’en déplaise à l’ICO, le Royaume de sa majesté ne sera plus dans l’EU, plus couvert par le RGPD et pas (encore) un pays à niveau de protection adéquat !

Mais tout va bien, vous avez encore quelques jours pour :

  1. identifier vos flux vers le royaume uni
  2. qualifier ces flux (responsable de traitement v. sous-traitant)
  3. rédiger vos clauses ou adopter les clauses contractuelles standards
  4. faire signer tout ça

Good luck !


Commenter

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *