Eric Barbry, avocat associé du cabinet Racine

Avocat spécialisé dans le domaine de l’IP/IT & Data Protection au sein du cabinet Racine, je vous propose une nouvelle approche du droit, résolument pratique, basée sur mon expérience professionnelle : celle d’un avocat qui travaille sur le droit des technologies depuis plus de 25 ans.

J’ai souvent envie de pousser des coups de gueules, parfois, moins souvent je l’accorde volontiers, des coups de chapeau…

Je vous propose de partager mes émotions professionnelles tantôt favorables à une nouvelle règlementation, tantôt contre ; critiques (positives ou négatives) à propos de décisions de justices qui bousculent la vie digitale des entreprises.

Sans trahir le moindre secret professionnel il me parait important d’échanger sur les cas d’usage des entreprises confrontées à des nouvelles questions autour de l’usage des nouvelles technologies.

Mon propos se veut pragmatique et tente d’apporter des réponses pratiques pour absorber, aussi sereinement que possible, le choc juridique que constitue la transformation digitale de votre entreprise.

A propos de Racine :

Racine est un cabinet d’avocats français indépendant de droit des affaires qui réunit 200 avocats et juristes, répartis au sein de 7 bureaux.

Racine se caractérise par une approche « full service » en droit des affaires en conseil et contentieux et intervient pour des entreprises, issues de différents secteurs de l’industrie et des services, des organisations professionnelles et interprofessionnelles ainsi que des collectivités publiques.

Retrouvez les derniers articles de cette chronique :
Voir tous les articles

[Chronique] RGPD/PIA : fin de la récréation le 25 mai 2021

Notre chroniqueur Eric Barbry analyse la prochaine deadline juridique importante pour les entreprises. Le 24 mai 2021 à minuit, le délai de 3 ans laissé aux organisations pour faire leurs PIA arrive à son terme. Et ceux qui le dépasseront seront en infraction avec le RGPD.

RGPD : gare aux infractions après le 25 mai 2021Vous allez penser que je fais une fixette sur le RGPD. Vous avez tort, c’est le RGPD qui fait une fixette sur vous ! Dans mon premier billet de l’année je vous annonçais un millésime, une année exceptionnelle pour nous les juristes de l’IT.

A lire aussi : [Chronique] J-30 pour les cookies

Après l’échéance du 1er avril concernant les cookies, dont je vois avec tristesse qu’elle a échappé à beaucoup et que pour les autres, elle pose plus de questions qu’elle n’apporte de réponses… voici déjà arriver la prochaine échéance.

Qu’est-ce qu’un PIA ?

24 mai 2021, minuit : à cette échéance, tous ceux qui doivent mettre en œuvre des analyses d’impact (souvent appelées PIA Privacy impact analysis) devront pouvoir en justifier en cas de contrôle Cnil.

Un petit rappel. Pourquoi cette date ? Lors de l’entrée en vigueur du RGPD, la Cnil a accordé aux entreprises qui avaient déjà un traitement soumis à PIA avant l’entrée en vigueur du RGPD, 3 ans pour faire ces PIA. Je rappelle que pour les traitements postérieurs au 25 mai 2018, il n’existe pas de délai de grâce… donc si vous n’avez pas de PIA, vous êtes en infraction par rapport au RGPD. Qu’est-ce qu’un PIA ?  Contrairement à ce que vendent les consultants en sécurité, avec tout le respect que je leur dois pour travailler avec nombre d’entre eux, un PIA n’est pas un audit de sécurité.

Pour s’en convaincre il suffit de lire le RGPD qui fixe le contenu d’un PIA : L’analyse contient au moins :

  1. a) une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement ;
  2. b) une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
  3. c) une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1 ; et
  4. d) les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

CQFD seul le point d) vise en partie les mesures de sécurité.

La question qui devrait vous angoisser

En réalité, un PIA vise à démontrer pour un traitement en particulier que ces traitements respectent 100% du RGPD. Le PIA comporte une partie relative à la sécurité mais elle n’est pas l’essentiel d’un PIA  qui doit traiter de toutes les questions : type de données, finalités, minimisation, fondement juridique, durée, droit des personnes, etc.

Mais la question qui devrait vous angoisser est : suis-je soumis à un PIA ?

Pour cela 3 vérifications s’imposent :

  • Etes-vous dans la liste des traitements de l’article 35 :
  • Cas 1 – évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
  • Cas 2 – traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ;
  • Cas 3 – surveillance systématique à grande échelle d’une zone accessible au public.
  • Si non, êtes-vous sur la liste des traitements définis par la Cnil ?

Pour mémoire principalement :

  • Cas 1 – Le monde de la santé
  • Cas 2 – Les EHPAD
  • Cas 3 – Le logement social
  • Cas 4 – Les transports en commun
  • Cas 5 – Les RH dans beaucoup de cas (haut potentiel, recrutement et IA, alertes professionnelles, data loss prevention, etc ….)
  • Si vous ne faites pas partie de cette liste, alors il vous reviendra de vous poser une dernière question : votre traitement met-il en œuvre au moins 2 des 9 critères définis par le CEPD à savoir :
    • évaluation/scoring (y compris le profilage) ;
    • décision automatique avec effet légal ou similaire ;
    • surveillance systématique ;
    • collecte de données sensibles ou données à caractère hautement personnel ;
    • collecte de données personnelles à large échelle ;
    • croisement de données ;
    • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
    • usage innovant (utilisation d’une nouvelle technologie) ;
    • exclusion du bénéfice d’un droit/contrat.

Je rappelle pour les plus optimistes d’entre vous que parmi les personnes vulnérables, la Cnil range les « employés » publics ou privés, raison pour laquelle nos amis RH sont en première ligne. Vous voici donc prévenus…. Il ne vous reste que quelques semaines.

A vos PIA… prêts… partez !


Commenter

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *