Accueil
Le quotidien du droit en ligne
-A+A
Interview

RGPD : « Le marché de la conformité fait peur aux prospects et aux avocats »

Le 25 mai 2018, la loi de transposition du règlement général de protection des données, dit « RGPD », est entrée en vigueur. Depuis cette date, sommes-nous passés à une « nouvelle ère numérique », pour reprendre les termes de Nicole Belloubet, ou s’agit-il d’un simple toilettage de la loi n° 78-17 du 6 janvier 1978 ? Me Étienne Drouard, qui a participé à l’élaboration du texte européen, apporte son éclairage.

le 31 mai 2018

La rédaction : Pourquoi fallait-il adopter un régime de protection des données commun à toute l’Europe ?

Me Étienne Drouard : En 2015, il existait différentes interprétations de la réglementation européenne. Les entreprises pensaient leurs activités différemment suivant les pays (comme la prospection via des emails ou la gestion des informations personnelles ou encore le consentement). Ce n’était pas interprété de la même manière alors que c’était écrit à l’identique dans le texte d’origine de 1995.

Le règlement européen doit ainsi remettre tout le monde d’aplomb en Europe. Sur les plans des données personnelles, du consentement, de l’obligation d’information ou de la durée de conservation, rien de tout cela ne change. La règle du « one stop shop » permet, lorsqu’une entreprise est à cheval sur deux pays (plaignant et entreprise ou deux filiales d’un même groupe), qu’une des deux puisse jouer le rôle de chef de file dans le pays où elle est mise en cause. Cela va obliger les pays à harmoniser leur vision. Cette promesse n’a pas été tenue durant vingt ans, le RGPD devrait pouvoir le faire.

On voit que ce nouveau cadre légal suscite l’inquiétude du côté des entreprises. Pourquoi ?

Me Étienne Drouard : Du côté des entreprises, on oscille entre l’incrédulité, la panique et le manque de moyens. Dans les grands groupes, les projets en cours mobilisent des armées de consultants et des provisions budgétaires destinées à être libérées en 2018 seulement. Dans les moyennes entreprises les plus sensibilisées, le manque de moyens pour financer un audit représente des coûts d’organisation disproportionnés.

Sur le fond, tout n’est pas négatif. Le RGPD promet une harmonisation des positions culturellement divergentes entre régulateurs nationaux. Espérons que cet objectif sera atteint sans que le consensus arbitre toujours en faveur des interprétations les plus dogmatiques.

Enfin, le niveau de menace de sanction (20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires mondial consolidé) constitue un défi pour les régulateurs (la CNIL, par ex.) qui devront être hautement professionnels lorsqu’ils envisageront des sanctions lourdes. Leur besoin de préparation en termes de méthode et de procédure est immense. Du côté des entreprises, l’échelle des risques n’est plus du tout la même, c’est-à-dire que les priorités d’arbitrage entre une performance économique et un risque juridique devront être repensées.

Finalement, ceux qui envisagent de s’expatrier loin de l’Europe pour échapper à ces échéances peu réconfortantes peuvent économiser un déménagement. Le RGPD prétend s’appliquer à toutes les entreprises situées hors de l’Union européenne et qui collectent des données relatives à des résidents européens.

Depuis le 25 mai dernier, sommes-nous passés à une nouvelle « ère numérique », comme l’affirmait la garde des Sceaux lors des débats parlementaires (v. Dalloz actualité, 26 janv. 2018, art. T. Coustet isset(node/188828) ? node/188828 : NULL, 'fragment' => isset() ? : NULL, 'absolute' => )) .'"'>188828) ?

Me Étienne Drouard : Ce texte s’inscrit dans le contexte d’une nouvelle ère numérique mais ne la crée nullement. Beaucoup de points sont identiques au régime issu de la loi « informatique et libertés » de 1978. La définition du prestataire numérique et celle du rôle joué par les parties sont identiques. De même, le droit à la portabilité est le cousin du droit d’accès.

En revanche, maintenant, les prestataires numériques doivent démontrer que la cartographie des données et leur conservation sont conformes à la loi. Ça, c’est nouveau : comme il n’y a pas de contrôle à l’entrée, les acteurs devront démontrer a posteriori la conformité.

La rationalité de ce secteur passera nécessairement par l’obtention d’agrément et des certifications que la loi devra préciser, ce qu’elle ne fait pas pour le moment. De même, sous quelles conditions peut-on devenir un data officer au sein d’une entreprise ? Quelle est la méthode de certification qui est valable ?

Malgré l’entrée en vigueur, tous ces points sont encore au stade de la discussion. Cela explique qu’un véritable marché de la peur se soit développé. J’ai en tête les pancartes grand format « le RGPD entre en vigueur le 25 mai, êtes-vous prêt ? ». Je n’ai jamais vu cela dans ma vie de juriste. Le marché de la conformité fait peur aux prospects et aux avocats.

Pourquoi cela fait peur aux avocats ?

Me Étienne Drouard : Parce que le changement opéré par ce nouveau régime suppose une adaptation du conseil avec une formation nécessaire. À partir du 25 mai, il s’agit non seulement de gérer un inventaire de traitement mais également de le justifier en cas de réclamation des régulateurs.

J’ai l’impression que le cœur des débats à venir va se nouer sur la « durée de conservation des données » qui n’obéit à aucune règle fixe. Je me trompe ?

Me Étienne Drouard : Depuis vingt ans, en Europe, les opérateurs économiques devaient justifier aux régulateurs la nature et les motifs de conservation des données. Du coup, la majorité des entreprises collectaient et stockaient sans limitation. Aujourd’hui, on doit informer les utilisateurs numériques de la durée de conservation. Cela oblige les opérateurs à se structurer : une fois le toilettage des politiques de conservation, ils devront s’attaquer au fond du sujet. Aujourd’hui, personne n’est capable de dire quelle est la durée qui s’impose et à partir de quand elle se justifie. C’est donc un vrai chantier qui nécessitera, à mon avis, une harmonisation européenne.

Les sénateurs ont déféré le texte devant le Conseil constitutionnel. Selon vous, la version actuelle est-elle susceptible d’être censurée ?

Me Étienne Drouard : Le texte passera tel quel. Des sénateurs cherchaient, en réalité, à ce que les règles s’imposent dans une moindre mesure aux collectivités locales. Ils n’ont pas soulevé les motifs opérants, à mon sens. Celui de la majorité numérique, par exemple, c’est-à-dire l’âge à partir duquel un mineur peut s’inscrire sur les réseaux sociaux et donner son consentement au traitement de ses données personnelles sans l’autorisation de ses parents. La loi française le fixe à 15 ans mais le règlement pose une liberté de choix. C’est ainsi qu’en Espagne, la majorité est à 13 ans. C’est intéressant, il faudra déterminer désormais dans quel pays le mineur est établi pour le protéger.

 

Propos recueillis par Thomas Coustet

Étienne Drouard

Étienne Drouard est avocat au barreau de Paris et associé du cabinet K&L Gates. Il a notamment travaillé au sein de la CNIL et auprès de la commission européenne. De 2010 à 2016, il a contribué à l’élaboration du RGPD.