DossierRGPD: tout savoir sur le règlement européen qui chamboule vos traitements de données
7 - [Avis d'expert] "Mai 2018 arrivera très vite et il n'y aura pas de délai supplémentaire"
Quel sera l'impact de la mise en conformité avec le RGPD pour les entreprises? Quelles démarches entreprendre auprès de vos éditeurs de logiciels de traitements de données? Quid des données collectées avant son entrée en vigueur? Me Sylvain Staub, du cabinet Staub & Associés, apporte son éclairage.
> Sachant que le RGPD impacte l'entreprise à différents niveaux (juridique, technique, opérationnel...), comment orchestrer la mise en conformité de son entreprise d'ici mai 2018?
La mise en conformité de l'entreprise, a fortiori du groupe d'entreprise, constitue un véritable projet auquel doivent participer la plupart des services de l'entreprise, car ils manipulent tous, à des degrés divers, des données personnelles. Le service marketing qui permet la prospection, le service client qui gère l'ensemble des contrats et donc des contacts chez les clients, le service achats en relation avec les fournisseurs, la DSI qui conçoit les systèmes ou implémente la sécurité, la DRH qui traite les données des salariés, doivent tous être sensibilisés, ainsi que le département R&D pour les entreprises qui éditent ou intègrent des technologies numériques, car le RGPD doit être intégré à l'ADN de ces produits dès leur conception.
Il s'agit d'une démarche de "recâblage" complet de l'entreprise
Il s'agit d'une démarche de "recâblage" complet de l'entreprise, qui doit se doter de processus, de réflexes et de modalités de contrôle pour que la conformité au RGPD soit effective et de chaque instant. C'est donc clairement un projet qui doit être impulsé au plus haut (DG et Daf), et qui doit être anticipé le plus possible compte tenu de sa complexité et de sa portée sur le marché.
Au vu des impératifs de production propres à chaque entreprise, du nombre de sujets à traiter, de l'évangélisation à mener au sein des groupes, et des enjeux associés (image de marque de l'entreprise, compliance, mais aussi risques de condamnation à des sanctions financières particulièrement significatives), il semble impératif de se lancer dans ce projet sans attendre. Mai 2018 arrivera très vite et il n'y aura pas de délai supplémentaire. Les entreprises qui seront conformes à cette date bénéficieront à la fois d'une sécurité juridique et d'une avance concurrentielle qu'elles pourront mettre en avant auprès de leurs clients.
> Les démarches de privacy by design et de security by default impliquent une modification profonde des outils de collecte de données utilisés par les entreprises. Quelles démarches entreprendre auprès de ses éditeurs de logiciels?
L'entreprise doit dès à présent interroger ses fournisseurs, qu'il s'agisse des éditeurs logiciels, des éditeurs de SaaS et autres services cloud, et des ESN qui interviennent en son sein pour déployer qui un ERP, qui un CRM, qui un système de communications unifiées, afin de connaître leur niveau d'expertise et de conformité au RGPD. Mais on ne doit pas s'illusionner: ces ESN ne sont pas encore toutes conformes, et elles-mêmes doivent investir un temps et une énergie considérable pour actualiser leurs organisations et leurs produits. Et l'entreprise cliente elle-même ne peut se contenter de s'en remettre aux travaux de son fournisseur (éditeur ou ESN) car elle-même doit adopter des processus et des règles internes de protection des données personnelles, indépendamment des produits acquis.
Les parties doivent dialoguer et ne pas s'en tenir à des clauses monolithiques dans les contrats
Ce recâblage va en effet impacter les modes d'utilisation par le personnel des outils qui leur sont confiés, et modifier les règles de confidentialité des données au sein de l'entreprise. À l'instar de la coresponsabilité voulue par le RGPD entre "responsables de traitements" et "prestataires sous-traitants", une "coresponsabilité" doit advenir et implique donc une réflexion conjointe des parties dans les contrats, et une démarche de mise en conformité progressive. Car au-delà de cette coresponsabilité, le primat du client qui décide de la nature et de la finalité de ses traitements, et le conseil dû par le professionnel, restent de leurs responsabilités respectives. Les parties doivent donc abondamment dialoguer et ne pas s'en tenir à des clauses monolithiques dans les contrats, qui pour l'heure ne rendraient compte qu'imparfaitement de la réalité de la protection des données personnelles.
> Qu'en est-il des données personnelles collectées avant l'entrée en vigueur du RGPD?
Elles devront clairement être traitées à l'avenir conformément aux nouvelles exigences du RGPD. C'est notamment pour cela que le Règlement a accordé un délai de 2 ans à tous les acteurs du marché pour se mettre en conformité: demain, toutes les données personnelles traitées dans l'entreprise devront bénéficier des règles du privacy by design, du security by default, et toutes les personnes physiques concernées (prospects, clients, fournisseurs, salariés...) devront bénéficier des nouveaux droits mis en place.
Il faudra donc prévoir des vagues de régularisations à déployer auprès des populations concernées, afin de préciser l'information qui leur est due, et de collecter des consentements complémentaires, notamment dans le cadre des traitements big data et onboarding qui se déploient en big bang actuellement sur le marché, y compris au sein des industries les plus sensibles à la sécurité de la data (banques, santé, telcos...).
L'auteur
Me Sylvain Staub est avocat associé au sein de Staub & Associés. Créé en 2004, le cabinet intervient en conseil et contentieux, pour les grands acteurs du marché de l'informatique, les pure players internet et les agences de communication... mais aussi pour de très nombreuses entreprises utilisatrices de ces technologies, PME et grands comptes, dans le cadre de leurs projets SI et de leur transformation digitale.
Depuis 2004, Staub & Associés est résolument dédié au droit de l'immatériel: droit des technologies de l'information, données personnelles, média numériques, réseaux, créations incorporelles.
Les avocats de Staub & Associés, issus de grands cabinets ou de grandes entreprises, sont notamment aguerris aux problématiques du RGDP, du cloud computing, des incidences de l'IoT, des projets blockchain, du licencing et de l'e-reputation.
Interview réalisée en février 2017