« Attention RGPD, la dernière ligne droite »
Dixième entretien Télécom ParisTalks
le 12 décembre 2017
Revivez l'événement en images et la synthèse de la table ronde
Compte-rendu détaillé
Présentations des intervenants
Claire Levallois-Barth :
Claire Levallois-Barth ouvre la conférence en positionnant le RGPD dans un processus historique depuis la loi « Informatique et Libertés » créant la CNIL en 1978 en passant par la directive européenne 95/46/CE sur la protection des données, puis de retour en France la loi pour une République Numérique (LRN) en 2016.
C’est parce que la directive de 1995 retranscrite en droit national de chaque pays a été jugée inopérante que la nécessité du RGPD s’est fait jour. Avec comme objectif celui d’obtenir effectivité et surface d’action de dimension internationale et non plus seulement nationale. Pour bien introduire la conférence Claire précise la définition de la donnée à caractère personnel : elle correspond à toute donnée relative à une personne qui permet de l’identifier de manière certaine – directe ou indirecte. Suivant le contexte dans laquelle elle réside ou circule, cette donnée ou jeu de données est de nature différente. A ce stade on estime que 69% du contenu des Bases de Données numériques dans notre société digitale constituent de la donnée à caractère personnel. Un rappel est fait au sujet des sanctions en cas de perte ou vol de données à caractère personnel : cette sanction existait depuis 1978, et est déjà de l’ordre de 3 millions d’euros depuis la LRN. A partir du 25 mai 2018, le RGPD fera passer cette sanction à un maximum de 20 millions d’euros ou 2%/4% du CA de l’entreprise suivant la criticité de l’incident. La perte ou le vol de données devra être renseigné auprès de la CNIL dans les 72 heures, qui suivant le cas pourra juger de révéler publiquement l’incident. L’objectif est que l’impact potentiel sur l’image de marque agisse comme un levier pour responsabiliser les acteurs sur la nécessité de protéger leurs données numériques. La mise en oeuvre du RGPD touche tous les métiers. Ce qui oblige une prise en compte au niveau de la gouvernance des données au plus haut niveau. Et qui débouche sur des nouveaux process. Le groupe de travail européen G29 sur la protection des données rassemblant les autorités de contrôle nationale dont la CNIL va être remplacé en mai 2018 par le nouveau Comité Européen de la Protection des Données. Il sera en charge de mettre en musique l’application du RGPD et de participer à la co-construction du droit et de la jurisprudence résultant du RGPD.
Claire rappelle plusieurs points :
- Le RGPD s’applique aux données numériques à caractère personnel de tout citoyen ou résident dans l’Union Européenne, et même si ces données sont traités ou hébergées hors de l’Union.
- Le RGPD s’applique à toute organisation, entreprise, acteur économique, administrations et aussi à toutes les associations. Seule l’utilisation de données à caractère personnel dans le cadre privé sort du champ du RGPD (ex : carnet d’adresses personnel sur smartphone, …).
- Le RGPD a un volet important sur le droit à la portabilité des données accordé à tout citoyen européen.
- Le RGPD a un volet important sur le droit à l’oubli.
Garance Mathias et Amandine Kashani-Poor :
Elles choisissent de présenter sous forme de dialogue entre elles le rôle du délégué aux protections des données (DPO), avec l’objectif de démystifier son rôle. Il est rappelé que le DPO est la clef de voute dans l’application du RGPD sur le terrain pour chaque organisation. Il est désigné, avec un rôle inscrit dans son contrat de travail. A ce jour on note qu’il a un profil très souvent juridique mais rien n’interdit qu’un profil technique soit désigné. Il doit avoir en tout cas un « background » juridique, et travailler avec une vision transverse entre le monde technique et le droit. Au quotidien Amandine s’appuie quant à elle sur le RSSI, qui traduit les objectifs qu’elle établit en exigences techniques (architecture, processus, solutions de cyber-sécurité). Elle fait le lien avec tous les auditeurs internes, et s’appuie sur les référents métiers de l’entreprise. Afin de répondre aux aspects anxiogènes de cette échéance du 25 mai 2018 et de la difficulté de ce nouveau rôle et de ces nouvelles obligations qui s’imposent à l’entreprise, Garance tient à préciser plusieurs points :
- Pour ceux qui attendent les détails : le texte de retranscription dans le droit national est à venir.
- Les entreprises qui agissent sous le régime de la loi de 1978, de la directive de 1995 ne partent pas de zéro. Les autorités nationales qui jouent le rôle de régulateur en tiendront compte. Il faut au minimum démontrer avant le 25 mai que les processus de mise en oeuvre des actions de protection des données sont enclenchés et que la responsabilité vis-à-vis de la protection des données à caractère personnel est bien incluse dans la gouvernance de l’entreprise.
- Certes les administrations et les entreprises qui gèrent intrinsèquement des données à grande échelle ont l’obligation de nommer un DPO. Pour les autres, il faut considérer le DPO comme une faculté et à ce titre il est possible de « sous-traiter » cette fonction à un prestataire de service qui pourra jouer ce rôle.
- Il est rappelé que le DPO ne peut pas être le responsable des données ou du traitement des données (qui est le « data owner »). Il ne porte aucune responsabilité pénale en cas de problème.
Télécharger la suite du compte-rendu
Si vous souhaitez être tenu informé des prochaines éditions des Télécom ParisTalks, les Entretiens du numérique,
merci de laisser vos coordonnées :
Pour approfondir vos connaissances,
découvrez nos formations sur la thématique de la conférence :
Formations courtes (2 à 5 jours) :
- Droit, RGPD et protection des données dans le big data
- Opinion mining : e-réputation et recommandation
- Formations big data