RGPD : Un an après. Quel bilan ?

RGPD : Un an après. Quel bilan ?

RGPD : Un an après. Bilan avec Maître Chazaud, Avocat

(Cabinet Trois point Quatorze)

Pensez-vous que la pratique du RGPD en « grandeur réelle » depuis 1 an va déboucher sur des évolutions, des simplifications, ou des interprétations nouvelles du texte ? Est-ce que, par exemple, la question de l'utilisation des données de CRM peut être simplifiée ?

Le RGPD comporte plusieurs dispositions dont les interprétations restent incertaines. Cependant, nous disposons déjà de « doctrine » de la part, notamment, d’associations professionnelles de Data Privacy Officer. Cela nous permet parfois, en l’absence de position officielle de la CNIL, de conseiller des interprétations dont nous savons qu’elles sont partagées entre professionnels et qu’elles devraient être soutenues par la CNIL.

Vous prenez l’exemple des données de CRM. A ce sujetnous partageons déjà des bonnes pratiques sous la forme de vademecums, que nous faisons évoluer constamment au gré des décisions, avis ou prises de position dont nous avons connaissance. A ce titre, les données recueillies via des formulaires de contact par exemple et intégrées ensuite au CRM nécessitent un cadre informationnel à destination de la personne dont les données sont collectées : une case à cocher, des mentions d’informations (pourquoi les données sont collectées ?) et un renvoi vers la politique de confidentialité avec un lien cliquable. Notre enjeu est de rester pragmatique et de ne pas ajouter de contraintes inutiles, tout en respectant l’intention du législateur.


Est-ce que depuis l'entrée en vigueur du texte, vous constatez une évolution de la notion de « données personnelles » visées par le RGPD ?

La notion de données personnelles n’a pas évolué depuis l’entrée en vigueur du RGPD. Ainsi, les données d’identification d’une entreprise, par exemple son numéro d’immatriculation, l’adresse de son siège social sont toujours exclues du champ de la législation RGPD ; cela ne signifie pas pour autant que les données de contact d’une personne dans son cadre professionnel sont exclues : au contraire, comme par le passé, il s’agit de données personnelles.

En réalité, ce que l’on a constaté avec l’entrée en vigueur du RGPD, c’est que la plupart des chefs d’entreprise, peu au fait de la réglementation précédemment applicable, ont tout simplement découvert que l’utilisation des données personnelles d’un tiers suppose le respect de ses droits et la collecte de son consentement. Cela est une vraie révolution dans l’esprit, aidée par les diverses affaires qui ont précédé l’entrée en vigueur du texte (Cambridge Analytica, etc).


Est-ce que vous avez déjà une vision de sanctions prises par les autorités, ou de contentieux 
liés à l'application du RGPD. Où en est la mise en application de la règlementation à cet égard ?

Dès l’entrée en vigueur du texte, en mai dernier, des plaintes ont été déposées par des associations à l’encontre des GAFAM* pour violation des dispositions du RGPD. La CNIL, de son côté, réalise progressivement son interprétation des dispositions issues du RGPD. Les premières décisions n’ont donc pas tardé : en France, dès le 21 janvier 2019, la CNIL a condamné Google à une amende de 50 millions d’Euros pour défaut de transparence et manque de base légale, pour les traitements réalisés dans le cadre du système d’exploitation des smartphones Android. Cette décision démontre que l’accès aux finalités du traitement, le « pourquoi » du traitement, et le recueil du consentement sont des principes fondamentaux à respecter en toute circonstance ; en témoigne d’ailleurs le montant de l’amende. Le recours de Google contre cette décision devant le Conseil d’État sera à suivre de près pour en tirer des enseignements.

Ailleurs en Europe, les autorités sœurs de la CNIL ont également pris des décisions symboliquement importantes : en Allemagne, le réseau social allemand Knuddells a été condamné à une amende de 20.000 Euros pour manque de transparence dans les conditions du traitement des données. Un hôpital portugais a également été condamné par l’autorité de contrôle locale à une amende de 400.000 Euros pour une politique d’accès aux bases de données des patients considérée comme non suffisamment restrictive.

*GAFAM = Google, Apple, Facebook, Amazon et Microsoft


Quelles principales difficultés les entreprises ont rencontré, à votre avis, dans la mise en œuvre de la réglementation ?

Le RGPD a constitué un changement de paradigme sans pour autant bouleverser les principes fondamentaux de la protection des données personnellesen effet, avant mai 2018, il fallait déclarer votre traitement de données avant dentreprendre une quelconque collecte de données. Aujourd’hui, la démarche est inverse, dans un esprit d’auto-responsabilisation : vous devez être en mesure de démontrer votre conformité en cas de contrôle et êtes par conséquent autonome dans cet exercice.

Face à ce défi somme toute relatif, les entreprises ont manqué d’anticipation par rapport au RGPD qui, pourtant, avait été adopté dès 2016. Et c’est ce manque d’anticipation qui les a finalement mis en difficulté : elles ont alors dû organiser leur conformité dans l’urgence, parfois sans se poser les bonnes questions. De notre côté, nous avons toujours été transparent avec nos clients dans cette mise en conformité : rien ne sert de courir ! Il faut certes réaliser une cartographie des risques et mettre en œuvre les bonnes pratiques et les bons process, mais il faut aussi apporter le niveau de conformité adéquat par rapport au risque identifié. Et cela ne passe pas que par des outils juridiques, mais aussi par des outils informatiques !


Posted on 26/05/2019 Fraude documentaire 143

Blog archives

Blog categories

Blog search

Comparer 0
Préc.

No products

To be determined Shipping
0,00 € Total

Commander