Bienvenue dans l’ère post-RGPD

La date butoir du 25 mai 2018, jour d’entrée en application du RGPD, est désormais derrière nous. Or, pour beaucoup de directions juridiques, la conformité reste encore un objectif à atteindre. Voici quelques points à avoir en tête.

Par Carine Guicheteau

1 - DES MONTANTS DE SANCTIONS TRÈS ÉLEVÉS, MAIS PAS DE PANIQUE
« La Cnil a rassuré en communiquant sur son indulgence les premiers mois, tout du moins en ce qui concerne les nouvelles mesures introduites par le RGPD et envers les entreprises qui sont en cours de mise en conformité, assure Pierre Leguy, data protection officer chez Adotmob, start-up spécialisée dans la publicité programmatique. En revanche, pour les sociétés qui ne respectent pas les principes fondamentaux de la protection des données, en vigueur depuis la loi Informatique et Libertés de 1978, comme la loyauté, la transparence, la collecte pour des finalités déterminées, ou encore la sécurité des données, des sanctions sont possibles. » Pour Thibault Demaison, directeur juridique du groupe Elephant, PME spécialisée dans la production audiovisuelle, « si aucune entreprise n’est à l’abri d’un contrôle de la Cnil, celles dont les données sont au cœur de l’activité seront probablement plus dans le viseur de l’autorité de régulation que les autres. »
Pour rappel, en cas de manquement en matière de protection des données personnelles, l’article 83 du RGPD prévoit des amendes administratives qui, selon la nature, la gravité et la durée de la violation ou encore le niveau de responsabilité de l’entreprise, vont de 2 % (manquements au privacy by design, privacy by default, …) à 4 % (problèmes de droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.) du CA annuel mondial ou jusqu’à 10 ou 20 M€, le montant le plus élevé étant retenu. Ce à quoi il faut rajouter le risque réputationnel et les sanctions définies par les articles 226-16 à 226-24 du Code pénal (jusqu’à cinq ans d’emprisonnement et 300 k€ d’amende).

Enfin, sachez qu’il est prévu une gradation des sanctions avec, généralement, au préalable, un avertissement ou une mise en demeure de mise en conformité. Afin d’apporter les preuves de votre démarche, documentez votre mise en conformité. C’est d’ailleurs une nouvelle obligation générée par le RGPD. « Dans la mesure où le RGPD induit un changement de paradigme, en passant d’une logique déclarative, de contrôle a priori, à une auto-responsabilisation de tous les acteurs, avec un contrôle a posteriori, la documentation joue un rôle primordial, souligne Thibault Demaison. Il faut désormais apporter des preuves manifestes de sa mise en conformité. »

2 - FAITES ATTENTION AUX SPÉCIFICITÉS NATIONALES
Le RGPD accorde à chaque État membre de l’UE une marge de manœuvre sur 56 points : "lorsque le règlement dispose que le droit d'un État membre peut apporter des précisions ou des limitations aux règles qu'il prévoit, les États membres peuvent intégrer des éléments du présent règlement dans leur droit dans la mesure nécessaire pour garantir la cohérence et pour rendre les dispositions nationales compréhensibles pour les personnes auxquelles elles s'appliquent".
Les arbitrages français sur ces 56 points se retrouvent dans la loi sur la protection des données personnelles, publiée au JO le 21 juin 2018. L’âge du consentement des mineurs, par exemple, fixé à 16 ans par le RGPD, peut être abaissé à 15, 14 ou 13 ans. La France a pris le parti de le positionner à 15 ans.
« Le juriste d’entreprise se doit d’appréhender le RGPD à l’aune des particularités locales, indique Anne-Sophie Nibert, responsable protection des données personnelles chez Total. L’harmonisation du cadre juridique européen attendue par les entreprises qui collectent des données personnelles à travers l’UE va être amoindrie par les réglementations nationales. La publication tardive des lois de chaque pays crée une certaine insécurité juridique et ne facilite pas le travail des juristes ! »

3 - INTÉRESSEZ-VOUS AUX AUTORITÉS DE CONTRÔLE DES AUTRES PAYS EUROPÉENS
« La Cnil fait preuve de beaucoup de pédagogie, d’efforts de vulgarisation, et de pragmatisme, loue Pierre Leguy. Il peut être intéressant de consulter les positions et conseils des différentes autorités de contrôle afin d’obtenir d’autres éclairages, d’étayer un arbitrage dans l’intérêt de l’entreprise et de challenger la Cnil. Surtout, il faut aussi s’intéresser à la jurisprudence de la CJUE, devant laquelle beaucoup d’affaires sont portées sur ces sujets. »
N’hésitez pas non plus à consulter les guidelines du Comité européen de protection des données (CEPD), qui remplace le G29. Ce nouvel organe pourra aussi adopter des décisions contraignantes notamment en cas de divergences entre deux autorités de contrôle nationales. « En parallèle de nos interprétations, nous nous sommes basés sur ces lignes directrices, indique Marie-Charlotte Grasset-Illouz, responsable juridique en charge des questions digitales, données personnelles et cybersécurité chez Total. La difficulté, c’est qu’elles sont diffusées au fil de l’eau, nécessitant des ajustements réguliers ! Cette mise en conformité requiert une grande agilité, du fait du manque de visibilité sur un certain nombre de points.  »
« Nous apprenons et arbitrons au fur et à mesure de l’avancée de la mise en conformité, témoigne Thibault Demaison. Par exemple, nous ne sommes pas soumis à l’obligation de désigner un DPO, mais nous n’excluons pas d’opter pour un DPO externalisé : c’est un indicateur de mise en conformité et pour la faire vivre dans le temps. »

4 - DES OUTILS GRATUITS À TESTER
Afin d’accompagner les entreprises, la Cnil a mis à disposition des entreprises un certain nombre d’outils gratuits, à l’image de son modèle de registre et de son logiciel open source PIA. Ce dernier permet d’évaluer les risques pour la vie privée d’un traitement. L’avantage ? « Du point de vue de la conformité, la Cnil ne pourra pas vous reprocher son usage, indique Pierre Leguy. Cela permet de diminuer les risques, sous réserve que l’outil soit bien utilisé ! Au demeurant, le logiciel PIA de la Cnil est intéressant, et il est visiblement amené à évoluer en fonctionnalités avec le temps. »
« D’une manière générale, sur ce projet de conformité, nous avons privilégié l’efficacité, en nous appuyant sur les procédures et solutions existantes en interne et en les adaptant au regard notamment des outils de la Cnil », précisent Anne-Sophie Nibert et Marie-Charlotte Grasset-Illouz.
De nombreuses ressources gratuites sont offertes sur le Net. Des livres blancs à des auto-diagnostics en ligne (Taylor Wessing, Medef…). Ils peuvent permettre, dans un premier temps, de vous situer ou de vous alerter sur des points spécifiques.
Un certain nombre de prestataires proposent, par ailleurs, des outils et des audits, payants cette fois. Les audits de conformité ou de sécurité des systèmes d’information, par exemple, sont susceptibles de pointer du doigt vos forces et faiblesses ou celles de vos sous-traitants stratégiques…

5 - FAITES DE CHAQUE SALARIÉ UN DÉFENSEUR DES DONNÉES PERSONNELLES
« Aujourd’hui, le RGPD fait la une de tous les médias, tout le monde en parle, mais même si l’attention du public retombe, il ne faut pas relâcher la pression, estime Pierre Leguy. La protection des données doit rester au cœur des préoccupations et devenir un réflexe pour les opérationnels. »
L'effort de conformité ne peut être que collectif. Sensibiliser, puis former, puis administrer des piqûres de rappel sont indispensables auprès des collaborateurs qui manipulent des données personnelles : service RH, commerciaux, marketing... Thibault Demaison multiplie les réunions d’information et va élaborer puis distribuer une note synthétique sur les étapes et questions qui peuvent se poser. « Un document clé en main afin de susciter des réflexes », résume le directeur juridique du groupe Elephant. Pour faire passer les messages, tous les moyens sont bons : newsletter dédiée, e-learning, Mooc, serious game, chatbot, tests de phishing… Si possible, personnalisez le discours au public visé.
L’AFJE organise régulièrement conférences et formations sur les thématiques en lien avec la protection des données personnelles et la cybersécurité. Consultez notre agenda.
« Ce n’est pas à la direction juridique de porter seule cette mise en conformité, il faut y associer la DSI et il est essentiel de trouver des soutiens et des relais en interne », concluent Anne-Sophie Nibert et Marie-Charlotte Grasset-Illouz.