Brisons l’omerta : personne ne semble avoir (vraiment) compris les exigences du RGPD.

En tant qu’agence digitale, nous nous sommes intéressés de près au sujet, et avons participé à près d’une dizaine d’événements dédiés à cette thématique ; le constat est sans appel : il n’existe pas de checklist du RGPD, ni de formule magique à appliquer pour se mettre en conformité.

Néanmoins, voici quelques clés de lecture pour mieux comprendre cette évolution réglementaire majeure à quelques semaines de sa mise en application.

LE RÈGLEMENT EN DEUX MOTS



Pour ceux d’entre vous qui seraient passés entre les mailles du filet de l’information, le RGPD est le nouveau règlement européen visant à protéger les données personnelles des individus.

D’application directe en Union Européenne, il entrera en application le 25 Mai 2018 et s’apparente à un big bang en matière de data protection : extension du droit des personnes, de la territorialité de son champ d’application, et lourdes sanctions financières pour les contrevenants.

Cependant, le RGPD a laissé perplexe un grand nombre d’entre nous, principalement dans la mesure où les règles énoncées n’exposent que peu d’éléments concrets à appliquer.

LE RGPD : 80 PAGES POUR RIEN ?



Pas tout à fait, car en filigrane du texte, le RGPD décline surtout une philosophie : il ne s’agit pas d’atteindre un objectif concret et universellement mesurable, mais d’imprimer un mouvement de responsabilisation de l’entreprise à l’endroit des données personnelles de tous ses interlocuteurs européens.

NORMER AVANT D’AGIR



En effet, le caractère inhabituel de la démarche tient au fait que votre organisation devra « s’auto-normer » : s’astreindre à ses propres exigences prédéfinies en amont, et documenter cette conformité pour l’opposer aux autorités compétences en cas de contrôle.



PRIVACY BY DESIGN ?



Pour comprendre la philosophie du RGPD, on peut prendre l’exemple du concept de « Privacy by Design », bien que défini théoriquement par le règlement, ses implications concrètes restent obscures : existera-t-il un guide de l’UX RGPD-friendly ? Faut-il exclure ou privilégier certains frameworks / CMS ?  Ou sont les lignes rouges ?

L’erreur serait de penser que le RGPD a vocation à répondre au cas par cas à ces questions !

Votre objectif : déterminer, avant le traitement des données, votre feuille de route pour une gestion la plus respectueuse possibles des données de vos interlocuteurs, puis penser et appliquer des procédures, design et développement adaptés, que vous pourrez opposer à la CNIL en cas de contrôle.



LE FIL ROUGE : UN PRINCIPE D’ « ACCOUNTABILITY »



Vous l’aurez compris, la principale révolution du RGPD est sans doute cette idée d’une certaine inversion de la charge de la preuve en matière de démonstration du respect des règles applicables concernant la protection des données personnelles.

Pour faire simple, en cas d’inspection de la CNIL, c’est à vous qu’incombera la charge de prouver votre propre conformité, d’où l’intérêt de la documenter en amont !



LE MOUVEMENT VIENT EN MARCHANT



Le plus difficile avec le RGPD est sans doute d’admettre qu’il n’est pas possible à l’heure actuelle d’être « objectivement conforme », une fois cette première étape passée, vous trouverez en ligne toute la documentation sur les étapes à implémenter : la CNIL met à disposition sur son site un guide des premières étapes à suivre pour votre mise en conformité, un modèle de registre des traitements ainsi que des modèles de clauses permettant une pré-mise en conformité de vos contrats de sous-traitance.


Et en cas de doute, notamment si vous avez vocation à traiter des données sensibles ou à effectuer des traitements à grande échelle, n’hésitez pas à faire appel à un avocat spécialiste, qui pourra vous aider à structurer et encadrer votre démarche.



Cet article a été écrit sous la relecture bienveillante de Laurence Hadj, avocat en Data Protection au sein du cabinet Bird & Bird