RGDP : les juristes à pied d’œuvre
Si de l’aveu de la Cnil, tout ne sera pas calé au 25 mai 2018, il est capital de se préparer au plus vite aux changements induits par le futur règlement européen. En effet, il change en profondeur la façon de collecter, d’exploiter et de stocker les données personnelles. Et, le juriste d’entreprise a un rôle central dans l’implémentation du RGDP (règlement général pour la protection des données). « Les juristes d’entreprise sont intéressés et mobilisés autour du sujet mais ils sont souvent inquiets car ils ne sont pas tous experts de la gestion des données personnelles, précise Béatrice Oeuvrard, juriste senior chez Microsoft France.
Néanmoins, le dossier de la conformité au RGPD doit être sur le haut de la pile. Il n’y aura pas de délai de grâce pendant deux ans, mais probablement une tolérance, les premiers mois, pour les entreprises qui n’ont pas finalisé leur conformité ; mais aucune pour ceux qui n’auront rien engagé. Élaborer un budget et un plan d’action doit être fait sans tarder. N’hésitez pas à vous faire aider par des professionnels : avocat, cabinet de conseil, assureur, sous-traitant certifié, par exemple 27018. »
Se mettre en conformité va demander un peu de méthode. « Dans l’esprit, les aspects méthodologiques relèvent de ceux des normes ISO », considère Isabelle Gavanon, directeur associé du cabinet Fidal. Ce que confirme Benoît Pellan, responsable du pôle numérique et RSE chez l’AFNOR. « Les grandes étapes peuvent être similaires à la façon de faire de la norme ISO 27001 : identification des données en général puis classification selon le niveau de risques, analyse d’impact selon la gravité, identification des menaces (vraisemblance d’une attaque) et de la vulnérabilité (probabilité d’un incident), puis si la probabilité est forte et la gravité importante, trouver les mesures de sécurité qui s’imposent. » « Nous avons suivi la méthode de l’ISO 27001 enrichie de la méthodologie de la Cnil et des méthodes PMO (project management methodology), témoigne Didier Hénin, RSSI de But International. Façon de procéder que nous améliorons au fur et à mesure. »
Sensibiliser la direction aux opportunités du RGPD
Mais avant de se lancer tête baissée dans son coin, sachez qu’il est primordial que le projet de conformité soit porté par une gouvernance et la direction générale. « Ne serait-ce que parce que la RGPD nécessite un certain budget, souligne Carole Maréchal, secrétaire générale de Data4Group. Pour présenter le règlement, inutile de rentrer dans les détails. Vulgarisez et soyez percutant dans le chiffrage : le texte va toucher 23 millions d’organisations en Europe et au-delà. Entraînez-vous à pitcher ! L’AFJE propose notamment des formations sur la communication auprès des non-juristes. Pointez du doigt les aspects positifs : les impacts en termes d’image et de business. Protéger la data, c’est protéger un actif de la société. »
« Le numérique est souvent appréhendé sous l’angle des risques, déplore Sophie Nerbonne, directrice de la conformité à la Cnil. Or, c’est aussi une opportunité pour utiliser au mieux cet atout car les données sont aujourd’hui au cœur des stratégies des entreprises. La protection des données est une source importante d’innovation. » « L’enjeu est également de susciter la confiance des consommateurs », souligne Bénédicte Fauvarque-Cosson, professeur de droit privé à l’université Paris II Panthéon-Assas.
« Le juriste d’entreprise va devoir se positionner comme un influenceur pour convaincre la direction générale de l’importance de la conformité au texte, souligne Vincent Martinaud, juriste et responsable juridique des données personnelles en Europe chez IBM. Mais pas uniquement en brandissant des menaces, mais bien en démontrant que le texte est source de compétitivité, notamment au regard de la confiance accordée par les data subjects. »
Définir et mettre en œuvre une data compliance
La définition d’une gouvernance de la donnée est la première pierre de toute conformité au RGPD. « Règles et procédures sont indispensables, assure Matthieu Bourgeois, avocat associé chez Simon & Associés. Puis, il convient de les formaliser dans une charte qui doit être largement diffusée et appuyée, si possible, par une formation. » Toutes les parties prenantes doivent avoir à l’esprit que l’on ne peut traiter et manipuler les données personnelles qu’avec une extrême prudence. « Sensibiliser les collaborateurs est essentiel, reconnaît Didier Hénin (But International). Il faut répéter le positionnement de l’entreprise sur le sujet et s’appuyer sur la charte dédiée. » Tous les moyens sont bons pour faire passer les messages sur la sécurité informatique : articles dans une newsletter ou l’intranet, événements ponctuels, formations… Chez Axa Investment managers et Accor, par exemple, des tests de phishing (forme d’escroquerie par email) sont organisés. « Il n’y a pas mieux en termes de sensibilisation que l’envoi de ces emails frauduleux aux collaborateurs, assure Arnaud Tanguy, chief information security officer d’Axa Investment managers. Quand on s’est fait prendre une fois, c’est rare que l’on retombe dans le panneau ! »
« Le règlement européen entraîne un changement de paradigme, résume Sophie Nerbonne (Cnil). On passe d’une logique de contrôle a priori au principe d’accountability, autrement dit de responsabilisation des acteurs. » « Challenger les idées et les projets, et documenter les actions et justifications sont les deux piliers de l’accountability », déclare Arnaud David, chief DPO chez CGI.
Autre grand principe du texte : le privacy by design, ce qui signifie que la protection des données personnelles devra être prise en compte dès la conception de tout projet. « Le cycle de la donnée doit être appréhendé de la collecte à l’archivage », souligne Sophie Nerbonne (Cnil). Enfin, ne croyez pas que les traitements existants soient exemptés… C’est le principe du privacy by default.
S’appuyer sur le DPO (data protection officer)
L’article 37 du RGPD impose la désignation d’un DPO, ou délégué à la protection des données en français, dans les entreprises qui assurent un "suivi régulier et systématique des personnes" ou qui "traitent des données sensibles à grande échelle". Le DPO est l’héritier naturel du CIL (correspondant informatique et libertés). « Auparavant, le CIL était souvent considéré comme un nice to have, résume Ian Kayanakis, directeur juridique chez Atos. Mais, avec le RGDP, ce temps-là est révolu. Ces experts sont essentiels à la gestion des risques et des coûts. » Sophie Nerbonne de la Cnil complète : « Les DPO ont un rôle fondamental car ils feront le lien entre les différents métiers de l’entreprise concernés. » Les juristes trouveront ainsi un allié précieux pour diffuser une culture juridique nouvelle et pourront s’appuyer sur ce coordinateur pour échanger et trouver des parades juridiques. « Un DPO ne travaille jamais seul, témoigne Nathalie Chidiac, DPO chez Airbus. Chaque métier a son expertise et c’est cette somme d’expertises qui permet une analyse fine des risques. »
Quel profil pour le DPO ? Le règlement précise qu’il doit disposer de "connaissances spécialisées du droit et des pratiques en matière de protection des données". « Si ce n’est pas un juriste, il doit travailler très étroitement avec les juristes, car on ne s’improvise pas expert des clauses contractuelles », ajoute Nathalie Chidiac.
Cartographier les traitements
Le chantier de mise en conformité se poursuit avec l’audit de l’existant, la cartographie des traitements de données personnelles, l’analyse de leur conformité et des risques associés. Les entreprises disposant d’un CIL ou d’un DPO vont pouvoir s’appuyer sur le registre actualisé de tous leurs traitements de données personnelles. « Il va falloir analyser, traitement après traitement, le différentiel entre l’existant et ce qui est attendu pour mai 2018, explique Nathalie Chidiac (Airbus). Puis, identifier les traitements les plus critiques dont il faudra se saisir en priorité. Face aux nouvelles obligations du RGPD, je ne recommande pas de travailler en séquentiel mais plutôt de traiter les sujets en parallèle. »
Ce travail sur l’existant passe notamment par la renégociation des contrats à risques en intégrant la protection des données. Mais aussi pour certains traitements par une étude d’impact… C’est la clé du privacy by default…
Réaliser des études d’impact
Quand des risques particuliers planent sur un traitement, une étude d’impact (PIA pour privacy impact assessment) va s’imposer. « Dans l’esprit d’accountability, il faudrait une mini-étude d’impact pour chaque traitement », met en exergue Winston Maxwell, avocat chez Hogan Lovells. Pour Arnaud David (CGI), il y aura deux niveaux de PIA : les "light" pour la majorité des traitements et des plus complets pour les projets d’envergure, qui nécessiteront une documentation élaborée.
« Le concept de l’analyse d’impact est innovant mais repose sur des notions classiques, issues de la loi Informatique et libertés de 1978 : principes de finalité, de proportionnalité et de pertinence, de durée de conservation, etc. », illustre Isabelle Gavanon (Fidal). Il va falloir se poser une série de questions comme, par exemple, la finalité est-elle suffisamment déterminée, explicite et légitime ? Ou encore est-ce que les données sont adéquates, pertinentes et non excessives par rapport au principe de minimisation du traitement ? « Le juriste doit être le lien permettant l’équilibre entre vie privée et innovation », souligne Isabelle Gavanon. Le juriste d’entreprise a ici un rôle crucial : interpréter et traduire le texte, clarifier, rassurer, conseiller, recommander où mettre le curseur dans l’analyse.
« À mon sens, certains PIA peuvent même être publiés, dans leur intégralité mais plus probablement partiellement, indique Vincent Martinaud (IBM). Cela peut donner un avantage compétitif à l’entreprise en se distinguant comme une bonne élève. Mais, au final, je pense que les PIA seront assez limitées dans beaucoup d’entreprises. J’y vois surtout une opportunité de faire le ménage et de renforcer la place du juriste d’entreprise car, sans eux, rien ne peut se faire. »
Pour chaque risque identifié par la PIA, il faudra ensuite trouver une parade… Mais, si au terme de l’analyse d’impact, il ressort que des risques subsistent, malgré les mesures envisagées, l’entreprise doit en informer la Cnil et ce, avant la mise en œuvre du traitement. « Il est possible d’avoir un échange constructif avec le régulateur et bénéficier ainsi de conseils et de pistes auxquelles on n’aurait pas pensé », estime Vincent Martinaud.
Enfin, une analyse de risque n’est jamais définitive ! « Une PIA se fait à un instant t par rapport à l’intégralité du cycle de vie de la donnée et doit être réitérée régulièrement », signale Carole Maréchal (Data4Group).
Renforcer son dispositif contractuel
Commencez par vérifier les certifications de vos sous-traitants. « Par exemple, la norme ISO/CEI 27018 atteste des bonnes pratiques pour la protection des données personnelles dans les services de cloud, cite Béatrice Oeuvrard (Microsoft France). Cela évacue déjà ce débat lors des négociations ! Mais, ne soyez pas trop ambitieux dans la négociation contractuelle, restez pour l’instant sur les principes généraux puis affinez au fur et à mesure des guidelines notamment du G29. »
« Le principe de partage des responsabilités se fera au travers du contrat, analyse Nathalie Chidiac (Airbus). Notamment dans les CGU des prestataires de cloud. Il ne sera plus possible de laisser passer des clauses où les sous-traitants se dégagent d’un panel de responsabilités et de toute coopération. Car, sans coopération, comment le responsable du traitement pourra-t-il répondre à ses obligations notamment en termes de notifications ? » Pour Arnaud David (CGI), le RGPD ne change rien pour les sous-traitants en termes de régime de responsabilités. « L’article 28 apporte néanmoins quelques détails supplémentaires. En revanche, certains éléments sont peu clairs, voire flous. Comment mettre en œuvre la coopération notamment dans le cadre des études d’impact ? Et quid du devoir d’alerte ou de conseil renforcé dans la mesure où les instructions du responsable du traitement seraient prises en violation du règlement ? Le RGDP, c’est aussi un nouvel équilibre. On est dans une logique où chacun a sa part de responsabilité, ses obligations et ses sanctions, avec notamment des sanctions croisées (article 82). La logique du RGPD est de garder un équilibre contractuel. Bénédicte Fauvarque-Cosson (université Paris II) rappelle que « suite à la réforme des contrats, dans le cadre d’un contrat entre professionnels non négocié, le juge peut sanctionner une clause abusive, par exemple limitative des responsabilités déséquilibrées ».
Enfin, quid de l’extraterritorialité de ce règlement européen ? Les experts y croient. « C’est la première fois de l’histoire qu’un texte étranger aura un impact sur le sol américain », assure Arnaud David (CGI). « Les acteurs étrangers auront tout intérêt à se conformer à la loi européenne s’ils souhaitent rester présents sur le marché européen et disposer d’un avantage concurrentiel dans les appels d’offres », signale Nathalie Chidiac (Airbus).
Tout documenter
La documentation vous servira à prouver votre conformité au règlement. « Tout documenter permet d’assurer la traçabilité du pourquoi de chaque action, explique Arnaud David (CGI). Les positions prises seront ainsi justifiées et il ne devrait pas y avoir de problème en cas de contrôle. » « Constituez-vous un dossier de preuves dans le cadre des négociations, par exemple sur la localisation des serveurs », recommande, pour sa part, Nathalie Chidiac (Airbus).
Se préparer à la possibilité d’une fuite de données
L’entreprise doit mettre en place les procédures qui devront être activées en cas de violation de données personnelles. Le RGDP prévoit, en effet, de nouvelles obligations en termes de notifications. Tout d’abord, les sous-traitants ont obligation de notifier au responsable du traitement tout manquement à la confidentialité et toute atteinte à l’intégrité ou à la disponibilité des données et ce, quelle que soit la gravité. « Le règlement n’indique pas forcément de timing précis se bornant à un "dans les meilleurs délais" », indique Matthieu Bourgeois (Simon & Associés). Ensuite, le responsable du traitement doit en informer la Cnil, dans les 72 heures après en avoir eu connaissance. « La Cnil mettra vraisemblablement un formulaire à disposition, présume Matthieu Bourgeois. Il conviendra de définir un process interne pour gérer cette notification. Pour assurer la traçabilité, il faudra également documenter la notification en tenant un journal. » Enfin, lorsque la violation des données peut engendrer un risque élevé, l’entreprise doit avertir, dans les meilleurs délais, les personnes concernées. « Cette notification peut faire peur, car elle peut coûter très cher aux entreprises, reconnaît Matthieu Bourgeois. Il existe d’ailleurs des assurances permettant de couvrir les frais de notification. »
« Face à un incident, il est nécessaire d’arriver à quantifier le risque et les volumes des données sorties, à endiguer la fuite, puis à notifier et impliquer l’ensemble des acteurs de la gestion de crise : la direction générale, les juristes, la communication, les équipes techniques, la relation client…, indique Arnaud Tanguy (Axa Investment managers). C’est relativement simple mais, en revanche, cela ne s’improvise pas. Cela commence par une simple fiche de procédures. » « Parfois, il n’y a pas lieu de réinventer la roue, informe Thomas Elm, DPO chez Accor. Par exemple, nous disposions déjà d’un dispositif de gestion de crise, un plan de reprise sur incident : nous avons étudié avec la cellule dédiée comment nous pouvions y inclure des hypothèses quant à la violation des données. Nous allons capitaliser sur nos process en termes de remontée d’information et d’évaluation de la gravité de la situation. Nous allons recommuniquer sur ces procédures et sensibiliser les différents acteurs. » Car, il suffit d’un maillon faible pour générer une crise d’envergure…
Toutefois, gardez en tête que le règlement est une véritable opportunité pour mettre en valeur le travail quotidien des juristes. Il est nécessaire de s’emparer du sujet au plus tôt et à tout niveau au sein des directions juridiques.
Participez au CAMPUS AFJE, le 24 novembre 2017 pour vous former sur la data protection Pour la 7e année consécutive, l’AFJE vous donne rendez-vous pour une journée riche en formations. Le CAMPUS version 2017 aborde logiquement les sujets dans l’air du temps comme le RGPD et des sujets dérivés. Par exemple, voici cinq ateliers qui peuvent vous intéresser : - RGPD : mettre en œuvre la data compliance dans votre entreprise ; - Cybercriminalité : prévenir et gérer les attaques ; - Data protection in M&A transactions ; - Méthodes de gestion de crise pour les directions juridiques ; - Negotiating data and tech contracts for your business. Découvrez l’intégralité du programme du CAMPUS 2017.