Exécutoire depuis le 25 mai 2018, le Règlement général sur la protection des données fêtera bientôt son premier anniversaire. L’occasion de faire un bilan avec Maitre Anne-Sophie POGGI, Avocat à la Cour spécialisée en droit de la donnée.

Les entreprises françaises ont-elles réussi à se mettre en conformité ?

Anne-Sophie POGGI : Les entreprises françaises se sont mises en ordre de marche très tardivement. On a beaucoup communiqué sur l’entrée en application du 25 mai 2018, mais personne n’a entamé de processus dès l’adoption de ce règlement en avril 2016 comme ce fut le cas en Allemagne. Nous restons en France dans une logique de « pas vu, pas pris » et on attend de voir comment la CNIL va réagir. La moitié des entreprises a entamé un processus de mise en conformité.

Pourquoi un tel retard ?

Anne-Sophie POGGI : La mise en conformité des grands comptes dépend de leur secteur d’activité. Ceux qui sont en B2C sont plus avancés que ceux en B2B. Mais les bons élèves sont principalement les PME, en particulier, celles dont l’activité est dans la ligne de mire de la CNIL.

Comme il s’agit d’une démarche continue, il reste encore des choses à faire, notamment en ce qui concerne les analyses d’impact (PIA) sur la vie privée et le registre des traitements. Avec le principe d’accountability, vous devez avoir mis vos process en conformité. Cela implique d’établir une documentation précise, de rédiger des mentions d’information pour les personnes concernées, d’instaurer des process internes en cas de violation de données, mais aussi de former et d’informer vos collaborateurs afin qu’ils soient associés à ce projet.

Pour l’instant, il y a eu peu de sanctions.

Anne-Sophie POGGI : L’activité de la CNIL n’est pas née avec le RGPD. En 2018, il y a eu dix sanctions pécuniaires, dont neuf relevant de la Loi Informatique et Libertés de l’ancien régime . La seule qui s’appuie sur le nouveau texte européen est celle contre Google. Elle reposait sur deux plaintes déposées dès le 25 mai dernier. Je rappelle qu’avant d’arriver à cette sanction pécuniaire, il y a différents niveaux de sanction : rappel à l’ordre, mise en demeure de mettre le traitement en conformité avec le RGPD délai pour se mettre en conformité, suspension des flux de données, amendes… Il faut surtout souligner qu’il y a eu une augmentation sensible des plaintes déposées auprès de la CNIL (plus de 11 000 l’année dernière). Il y aura d’autres condamnations en France d’ici la fin de cette année en France.

Les sous-traitants semblent être le point noir de nombreux responsables du traitement ?

Anne-Sophie POGGI : c’est le grand changement du RGPD : il y a dorénavant un principe de co-responsabilisation. Les sous-traitants doivent respecter les instructions liées à la sécurité des données que leur confient leurs clients. Il faut néanmoins distinguer différents types de sous-traitants. Concernant les prestataires dont l’activité est liée à l’IT et au cloud (hébergeur et applications en mode SaaS), ils se sont mis en ordre de marche. Ils ont renforcé leurs mesures de sécurité et instauré des audits dont les rapports  sont consultables. Ils ont également mis en place des procédures concernant les transferts en dehors de l’Union européenne. Quant aux autres éditeurs, ils ont du mal car cela implique notamment des changements profonds dans la structure de leurs logiciels.

Des doutes subsistent à propos de la confidentialité des données dans le cloud ?

Anne-Sophie POGGI : les responsables de ces plates-formes disent qu’ils stockent, mais qu’ils n’accèdent à aucun moment aux données. Mais le RGPD précise que la simple visualisation d’une donnée est considérée comme un traitement. Ce n’est pas parce qu’ils affirment être en conformité que cela vous exonère de vérifier avant de contractualiser cette conformité via une analyse de risques. Les entreprises doivent être très vigilantes quant aux informations qu’elles mettent dans les clouds d’entreprises américaines. Mais cette vigilance devra aussi s’appliquer aux hébergeurs chinois comme Alibaba. Sous prétexte de guerre contre le terrorisme (référence au Cloud Act américain), il y a un risque que vos données soient analysées et traitées par des organismes gouvernementaux sans que vous en soyez informé.

Pour en savoir plus, consultez le site www.poggiavocats.com