« Traiter le RGPD sous l’angle juridique seulement, c’est passer à côté »

Frédéric Sardain est responsable du pôle IP, Tech & Data chez Jeantet. Il conseille ses clients dans le cadre de projets digitaux complexes, ainsi qu’en matière de données personnelles. Il dispose également d’une vaste expérience en matière d’IP transactionnelle et de contentieux stratégiques liés à la propriété intellectuelle. Frédéric Sardain est le co-auteur, avec le Pr. Philippe Gaudrat, du premier « Traité de droit civil du numérique » (Larcier, 2015), matière qu’il enseigne à l’Université Panthéon-Assas.

Equipe Compliances
Sep 6, 2018 · 5 min read
Frédéric Sardain, Associé, Jeantet

Parmi les nouveaux droits de la personne concernée par un traitement, lesquels représentent le plus grand défi pour vos clients ?

Les deux véritables défis techniques et juridiques sont la portabilité — qui est véritablement un nouveau droit, dont on ne sait pas encore tout à fait comment le mettre en place techniquement — et le consentement, qui constitue une des bases légales au traitement de données personnelles. Le RGPD impose notamment que le consentement donné en ligne puisse être retiré à tout moment par les mêmes voies que celles par lesquelles la personne l’a donné. Ce principe implique d’avoir des outils techniques permettant de suivre le consentement ou son retrait. En cela, le consentement n’apparaît pas comme la base légale la plus forte pour un responsable de traitement puisqu’il peut être retiré à tout moment.

Si les exigences en matière de consentement ont largement été rehaussées avec le RGPD, les responsables de traitement et leurs sous-traitants disposent d’une marge de manœuvre quant à ses techniques d’obtention. Est-il judicieux d’innover en la matière ?

Je suis assez surpris de voir que beaucoup voient une nouveauté dans le consentement. Pourtant, il faisait déjà partie des bases légales des traitements. Les guidelines sont claires et la CNIL avait déjà une appréciation assez stricte du consentement, imposant un acte positif accompagné de l’ensemble des informations qui permettent de le donner de manière libre et éclairée. Je pense qu’en France, on va rester sur des standards qu’on connaît déjà, bien que tous ne les aient pas encore mis en œuvre. Ces standards sont connus depuis un certain nombre d’années et n’appellent donc pas forcément à une rénovation, surtout que les opérateurs soumis au RGPD cherchent, dans un premier temps, à se conformer. L’innovation et la créativité viendront sûrement une fois ce premier chantier achevé.

Comment réagissent vos clients aux recommandations et exigences du G29 sur la question du consentement ?

De façon générale, moins nos clients ont d’opérations de « re-consent » à réaliser, plus ils sont contents ! D’autant plus que les campagnes mises en œuvre pour recueillir des consentements ont demandé beaucoup d’énergie et de moyens. Cela fait partie des choses qui sont en train de se construire, à la fois du côté des clients et des conseils. Le curseur se place en termes de risques, avec une attention particulière portée aux décisions et sanctions éventuelles que pourrait être amenée à prendre la CNIL. Par exemple, la réactualisation du consentement doit-elle nécessairement répondre aux mêmes exigences que l’obtention initiale du consentement ? C’est typiquement le genre d’interrogation qui nous permet d’envisager une marge de manœuvre.

Doit-on s’inquiéter des consentements donnés avant l’entrée en application du RGPD, et qui n’auraient pas été obtenus de manière conforme ?

La réponse théorique, c’est qu’on doit être pleinement conforme à ce qu’exige le RGPD aujourd’hui. Cela implique donc un « re-consent » propre. Dans les faits, cela va dépendre de la qualité du premier consentement : est-ce que la politique de confidentialité était claire, est-ce que la personne a été informée de tous ses droits, etc. En fonction de cette qualité, l’échelle des risques évolue et nos recommandations avec.

De quel constat est née cette nécessité de vous allier avec Modis pour proposer une offre commune ?

Quand j‘ai lu le RGPD il y a maintenant deux ans et demi, j’y ai d’abord vu un texte juridique, mais rapidement on s’aperçoit que de nombreuses obligations à la charge du responsable de traitement sont purement et simplement techniques. C’est le cas par exemple des enjeux de sécurisation des données, de gestion de la notification des failles de sécurité, de mise en place de registres de traitement qui ne soient pas limités à une simple feuille Excel ou encore des exigences en matière de revue des process.

Dès lors, en ne proposant qu’un accompagnement juridique, on passe à côté d’une grande partie du RGPD. Les clients eux-mêmes réclament une prise en charge globale, différente d’un accompagnement traditionnel.

La forte composante technologique, technique et organisationnelle de la conformité RGPD implique de mettre autour de la table des personnes qui n’ont pas l’habitude de travailler ensemble. Dans le cas de la conception d’un nouveau service ou produit par exemple, il faut impliquer de nombreux services pour s’assurer de la « privacy by design and by default », tels que des juristes, des experts de l’expérience utilisateurs, etc. Il est également nécessaire d’impliquer la Direction générale, qui doit prendre conscience que la conformité RGPD demande des budgets. La formation et la sensibilisation sont clés, pour l’ensemble des collaborateurs.

Jeantet s’est ainsi associé à Modis, acteur mondial du conseil IT, pour offrir à nos clients une proposition de valeur transversale avec des spécialistes techniques, finalement assez peu proposées sur le marché.

Avez-vous été confronté à des modèles d’affaires complètement incompatibles avec les principes de la protection des données ? Quelle solution dans ce type de cas ?

Récemment, notre équipe a travaillé sur les projets big data d’une compagnie d’assurance d’une part et d’une grande entreprise de services numériques d’autre part. Leurs propositions de valeur étaient très intéressantes, mais les dérouler aurait conduit à une incompatibilité problématique avec le RGPD.

L’agenda numérique européen est parfois contradictoire : d’un côté, il faut protéger les droits des citoyens et de l’autre, il faut favoriser les entreprises numériques — notamment du big data — pour créer de l’emploi et de la croissance. Or, le big data poussé à son paroxysme est en contradiction avec le RGPD. De même, certaines dispositions du Règlement appliquées à la lettre empêcheraient de mettre concrètement en place certaines applications technologiques. Avec plus de recul sur la mise en œuvre du texte, des points de frictions devront sans doute être réglés par la jurisprudence ou par le législateur. //

Cet article a été publié pour la première fois dans le magazine Compliances paru le 24 mai 2018, disponible sur www.compliances.fr.

Equipe Compliances

Written by

Compliances est le média professionnel dédié aux enjeux opérationnels et tech de l’anticorruption, de l’éthique des affaires et de la protection des données

Compliances

Compliances est le média professionnel indépendant dédié aux enjeux opérationnels et technologiques de l’anticorruption, de l’éthique des affaires et de la protection des données.

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade