Clémence Scottez (CNIL) et Olivier Iteanu (Avocat) réunis pour parler des enjeux du GDPR pour les entreprises

Le 15 novembre dernier, le JDN organisait la 4ème édition de sa Journée « Personnalisation & DMP ». S'est tenue une table ronde sur le règlement GDPR. Animée par Antoine Coubray (CustUp), elle a réuni Clémence Scottez (CNIL) et Olivier Iteanu (Avocat). Les réponses données par les deux experts ont apporté des éclairages instructifs sur les enjeux du nouveau règlement européen sur la protection des données personnelles., qui entre en application en mai 2018.

Il n’y a pas de démarche « standard » de mise en conformité au GDPR

 

La Journée « Personnalisation & DMP », organisée par le Journal du Net, réunit chaque année depuis quatre ans les professionnels de l’adtech et du martech autour des enjeux liés aux données. Qui dit données dit GDPR. Le règlement européen sur la protection des données personnelles (RGPD en français, ou GDPR en anglais) entrera en application le 25 mai 2018. Toutes les entreprises faisant du traitement de données à caractère personnel (DCP) seront impactées. 

Antoine Coubray, Directeur de CustUp (cabinet de Conseil en Relation Clients), a été convié pour animer une table ronde autour des enjeux du GDPR. Etaient interrogés Clémence Scottez, qui dirige le service des affaires économiques à la Direction de la conformité de la CNIL et Olivier Iteanu, un avocat à la Cour d'Appel de Paris spécialisé en droit du digital et des données. 

Que faut-il avoir fait le 25 mai 2018 ? Pour répondre à cette première question, Clémence Scottez a rappelé les principaux points de la démarche en 6 étapes proposés par la CNIL sur son site internet : la cartographie des données ET des traitements, la désignation d’un pilote en la personne du Data Protection Officer (DPO), l’identification des traitements à risques et la réalisation d’études d’impact, la constitution d’une documentation (registre des traitements) consultable par la CNIL en cas de contrôle. 

Pour Olivier Iteanu, le plus important est de montrer aux autorités de contrôle qu’une démarche sérieuse a été initiée. Ce dernier a poursuivi en expliquant qu’il n’y avait pas de démarche standard de mise en conformité. Chaque démarche est spécifique et doit s’adapter à la taille de l’entreprise, au niveau de maturité de sa politique de données (certification ISO 27 001 ou non), à son secteur d’activité (plus ou moins réglementé), à ses ressources, à son organisation, etc. 

Un principe au cœur du GDPR : le consentement 

Selon Olivier Iteanu, le concept central du GDPR est celui de « consentement ». Le GDPR impose en effet une évolution des pratiques en matière de gestion des consentements. Le GDPR prévoit que le consentement devra être explicite et « positif » (pas de cases pré-cochées). Il pourra être retiré à tout moment sur demande de la personne. 

Un règlement annexe au GDPR, consacré à la question des consentements et des cookies, est d’ailleurs en cours de discussion au sein des instances européennes. Il imposera aux navigateurs web de donner la possibilité aux internautes de bloquer tous les cookies dans les options de paramètrage. Cette mesure, qui renforcerait le pouvoir des éditeurs de navigateurs (tous américains), fait l’objet de nombreuses critiques. 

Pour Clémence Scottez, cette mesure est une application du principe de « Privacy By Design », qui implique de donner la possibilité à l’utilisateur de bloquer de sa propre initiative le traitement de ses données (en cas de fuite notamment). Comme l’a fait remarquer Clémence Scottez, la possibilité offerte à l’internaute de bloquer tous les cookies par défaut n’empêchera pas aux sites internet de demander le consentement à leurs utilisateurs. La représentante de la CNIL en a d'ailleurs profité pour mettre l’accent sur les enjeux de communication sous-jacent. Pour emporter le consentement de leurs utilisateurs, les entreprises devront faire preuve de transparence et expliquer clairement la finalité de la collecte. 

Quid de la responsabilité des entreprises et du partage de la responsabilité entre l’entreprise et ses sous-traitants ? 

Antoine Coubray a ensuite amené le débat sur la question de la « responsabilité ». Le GDPR instaure un régime de responsabilité. Il s’agit, selon Clémence Scottez, d’un changement complet de paradigme. Le RGPD supprime les systèmes de déclaration préalable et d’autorisation préalable. En contrepartie, les entreprises devront documenter les traitements et être capables de prouver par une documentation adéquate la conformité des traitements en cas de contrôle a posteriori. L’objectif poursuivi est d’obliger les entreprises à prendre conscience des enjeux de protection des données. 

Olivier Iteanu a apporté des éclairages sur la question de la répartition des responsabilités entre l’entreprise et ses sous-traitants, en commençant par rappeler quelques définitions. Le « responsable de traitement », au sens du GDPR, est la personne qui, dans l’entreprise, dispose d’un pouvoir de décision sur les données et leurs traitements. Le sous-traitant (un éditeur de logiciel par exemple) n’a pas ce pouvoir. Il agit sur ordre du responsable de traitement. Un sous-traitant qui outrepasserait son rôle pourrait voir sa responsabilité engagée. 

Clémence Scottez a de son côté insisté sur la distinction qui devait être faite entre « sous-traitant » et « prestataire ». Un prestataire qui opère de sa propre initiative des traitements sur les données de l’entreprise (que ce soit en amont ou en aval) devient ipso facto un « responsable de traitement ». Un fournisseur de fichiers de données enrichies, par exemple, ne peut pas être considéré comme un sous-traitant. Les entreprises doivent mettre au clair leur relation avec leurs prestataires, ré-examiner et ajuster si nécessaire les contrats. 

Mise en conformité GDPR : par où commencer ? 

« Je souhaite enclencher une démarche de mise en conformité, par où commencer ? ». C’est la question que le Directeur de CustUp a posé aux deux experts pour conclure la table ronde. Pour Clémence Scottez, la réponse est claire : par la cartographie des traitements et par la désignation d’une personne compétente pour faire ce travail, à savoir un DPO. Pour la responsable de la CNIL, la désignation d’un DPO semble difficilement contournable, même lorsque le règlement n’en prévoit pas l’obligation. Le DPO est la personne qui assure la cohérence de la démarche. 

Un avis partagé par Olivier Iteanu, qui a souligné en complément l’importance des diagnostics juridiques : les traitements sont-ils licites ? Sont-ils à risque ? Quel statut de l’entreprise vis-à-vis des traitements ? Agit-elle comme responsable de traitement ou comme sous-traitant ?

  En une trentaine de minutes, Clémence Scottez et Olivier Iteanu ont su apporter des éclairages importants sur certains aspects du GDPR.