Le règlement européen GDPR affirme que la protection des personnes physiques à l'égard du traitement des données à caractère personnelle est un droit fondamental. Cette réglementation européenne, qui prendra effet dans un an, est stratégique pour les entreprises. Olivier Haas, avocat of counsel en charge de la pratique Cybersécurité, protection des données personnelles & vie privée au bureau de Paris du cabinet d'avocats Jones Day, répond à nos questions.
Dans un an, sera applicable le règlement européen sur la protection des données. Pouvez-vous en rappeler les principaux objectifs ?
Le Règlement général sur la protection des données (GDPR), qui entrera en vigueur le 25 mai 2018, est un texte fondamental en matière de protection des données à caractère personnel.
Tout d'abord, il vise à harmoniser réellement le cadre règlementaire européen relatif au traitement des données personnelles. En effet, la directive de 1995 a été transposée de manière très disparate par les Etats membres, résultant en une grande complexité pour les entreprises et une opacité pour les résidents de l'UE, au détriment de la confiance dans le secteur du numérique. Le GDPR a donc été adopté sous la forme d'un règlement qui va véritablement permettre d'harmoniser le cadre juridique de protection des données personnelles dans l'UE.
Ensuite, le GDPR va ajuster les principes de protection des données personnelles afin de les actualiser au regard de l'évolution des technologies. En effet, depuis 1995, les technologies ont radicalement évolué, notamment avec le développement du profilage et la généralisation du cloud computing. Le cadre juridique a donc été remis à jour des nouvelles pratiques et a été ajusté pour couvrir les acteurs incontournables de l'économie numérique qui traitent les données personnelles des résidents de l'UE, même lorsque ces acteurs ne sont pas établis en Europe.
Enfin, le GDPR réduit substantiellement les formalités d'enregistrement préalable imposées aux entreprises qui traitent des données personnelles, tout en les responsabilisant davantage sur la mise en place et le suivi effectif de leur conformité aux règles de protection des données. D'ailleurs, le GDPR prévoit désormais des sanctions très lourdes en cas de manquement.
La réglementation en vigueur aux Etats-Unis est-elle similaire ? Et au Royaume-Uni ?
Aux Etats-Unis, la réglementation sur les données personnelles n'est pas structurée de manière uniforme. Il y existe de nombreuses règles applicables au traitement des données personnelles, mais ce sont des règles sectorielles, par exemple pour le traitement des données dans le domaine médical ou dans le secteur financier. C'est la raison pour laquelle les Etats-Unis ne sont pas, dans l'ensemble, considérés comme assurant un niveau de protection adéquat des données personnelles pour les transferts internationaux de données en provenance de l'UE. Pour y remédier, il existe plusieurs solutions : certification Privacy Shield par le destinataire des données, mise en place de clauses contractuelles pour le transfert des données ou, pour les transferts intra-groupes, adoption de règles d'entreprise contraignantes (BCRs).
Au Royaume-Uni, les principes applicables, résultant de la directive de 1995, sont actuellement les mêmes que dans le reste de l'UE. Par ailleurs, le GDPR s'appliquera également au Royaume-Uni jusqu'au Brexit, qui n'interviendra que postérieurement. Les Britanniques ont indiqué qu'ils continueront ensuite à appliquer les principes du règlement. Donc, normalement, le Royaume-Uni devrait continuer à appliquer une réglementation similaire à celle de l'UE pour la protection des données personnelles.
Selon une étude récente de Veritas Technologie, 86% des entreprises dans le monde seraient inquiètes des possibles conséquences d'un défaut de conformité et 47% redouteraient de ne pas être prêtes à temps. Confirmez-vous ces inquiétudes ?
Oui, les risques sont réels et il est donc indispensable de se préparer rapidement. Tout d'abord, le GDPR concerne non seulement toutes les entreprise qui sont dans l'UE, mais également un grand nombre d'entreprises établies hors de l'UE, notamment celles qui ont ou contribuent à des offres de produits ou services à destination de résidents de l'UE, ou bien celles qui surveillent le comportement de résidents de l'UE ou y contribuent. Le GDPR va donc notamment toucher un grand nombre d'entreprises hors UE qui n'appliquaient pas encore la réglementation européenne.
Par ailleurs, le GDPR prévoit un grand nombre d'obligations pour les entreprises, qu'elles agissent en tant que responsables de traitement ou en tant que sous-traitant. Il y a donc un travail de préparation juridique conséquent à mettre en œuvre, pour faire l'état des lieux, identifier tous les points à rectifier et mettre en place des mécanismes de suivi.
Enfin, les sanctions administratives prévues par le GDPR en cas de manquement sont désormais très importantes : pour certains manquements, elles peuvent aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial de l'entreprise si ce montant est supérieur.
Etant donné le travail très important requis pour préparer l'entrée en vigueur du GDPR et le montant significatif des risques encourus, il est indispensable pour les entreprises de mettre en œuvre dès maintenant une stratégie de mise en conformité, pour ne pas être en retard.
Quels conseils demandent les entreprises ? Abordent-elles aussi le sujet du risque de réputation lié à de possibles manquements vis-à-vis de la réglementation ?
Les besoins des entreprises sont très variables, selon leur degré de conformité à la règlementation actuelle en matière de données personnelles. La plupart nous demandent de les accompagner sur l'ensemble de leur stratégie de mise en conformité, depuis l'audit des traitements existants et la revue des mécanismes et contrats en place, jusqu'à la définition de leurs futures politiques de traitement de données, la structuration de leurs transferts de données et leur organisation interne pour maintenir la conformité au GDPR.
Concernant le risque de réputation, c'est un point important sur lesquelles les entreprises nous demandent de les accompagner, notamment pour la mise en place d'une stratégie de réponse aux failles de sécurité et violations de données, car ces incidents peuvent avoir des conséquences désastreuses.
Le métier de data protection officer est en train de se structurer. Quel est le « bon profil » aujourd'hui ? Quels sont les liens avec la direction de la conformité ?
Le métier de data protection officer (DPO, délégué à la protection des données) est effectivement sous les feux de la rampe car de nombreuses entreprises et administrations vont devoir en désigner un, sans compter celles qui choisiront volontairement de le nommer. Il n'y a pas de bon profil unique pour un DPO mais, idéalement, il doit avoir une bonne connaissance des process de l'entreprise et de son organisation, avoir une bonne compréhension des nouvelles technologies, de bonnes connaissances juridiques et être très expérimenté en matière de données personnelles. Ce sont des profils assez rares et très recherchés par les grandes organisations.
Le DPO a indiscutablement un rôle de conformité, mais le GDPR dispose spécifiquement qu'il doit avoir les moyens d'accomplir sa mission, en toute indépendance. Il sera donc impératif de veiller à ce que le DPO puisse jouer tout son rôle de conseil et de mise en garde de l'entreprise sans conflit d'intérêts avec d'autres fonctions de l'entreprise (IT, RH, Marketing, etc.). A cet égard, le DPO pourrait avoir sa place près de la direction de la conformité, tout en préservant son statut spécifique.
Contact : revue@sfaf.com