LEBIGDATA.FR I.A, Cloud & Cybersécurité
Quels sont les enjeux et les bénéfices du RGPD pour les grands groupes ? En quoi l'impact de ce règlement est-il différent pour les grands groupes et pour les entreprises de moindre envergure ? Quelles sont les mesures à prendre pour s'y conformer avec succès ? Rencontre avec Jean-Guy de Ruffay, avocat spécialisé du cabinet parisien Altana.
Le RGPD concerne toutes les entreprises qui traitent des données personnelles, mais ne représente pas les mêmes problématiques pour les grands groupes et pour les PME. Pour mieux cerner les enjeux et les bénéfices de ce nouveau règlement pour les grands groupes, LeBigData.fr s'est entretenu avec l'avocat Jean-Guy de Ruffay du cabinet parisien Altana.
Ce cabinet spécialisé dans le droit des affaires regroupe environ 80 avocats. De son côté, Jean-Guy de Ruffay fait partie d'une équipe de 11 avocats spécialisés dans les problématiques de propriété intellectuelle, de nouvelles technologies et de protection des données personnelles.
Quels sont les principaux enjeux liés au RGPD pour les grands groupes ?
Le RGPD représente de nombreux enjeux pour les grands groupes. L'un des principaux défis à relever est celui de la gouvernance des données, car il est très difficile pour un grand groupe de bénéficier d'une vision exhaustive en temps réel de tous les traitements de données effectués au sein des divers services. Plus la taille de l'entreprise est grande, plus la gouvernance des données est difficile. Il est donc nécessaire de mettre en place des systèmes de gouvernance très importants.
Par ailleurs, le chiffre d'affaires étant plus important, la sanction encourue est plus élevée. Rappelons en effet qu'une entreprise qui enfreint le RGPD risque une amende pouvant représenter jusqu'à 4% de son chiffre d'affaires. L'enjeu est donc proportionnel.
En outre, c'est la réputation du grand groupe qui est mise en péril. En cas d'infraction, l'entreprise risque d'être mise en demeure par la CNIL et la décision sera immédiatement relayée par les médias. L'image du groupe peut s'en trouver ternie, et les conséquences peuvent s'étendre sur le très long terme.
Si l'on prend l'exemple de Google, sanctionné par la CNIL en janvier 2019 à hauteur de 50 millions d'euros, cette amende est loin d'avoir un impact neutre pour le géant de Mountain View. Suite à cette mise en demeure, les internautes auront désormais tendance à se méfier et à craindre que Google collecte et exploite illégalement leurs informations personnelles…
Au contraire, ce nouveau règlement représente-t-il des opportunités pour les grands groupes ?
Bien évidemment. Tout d'abord, on a pu observer de nombreuses utilisations marketing du RGPD. Cela concerne bien sûr les fournisseurs d'outils de cybersécurité, les consultants ou les avocats (rires), mais aussi certains grands groupes qui ont pris conscience de la valeur de leurs données et de ce qu'elles peuvent en faire suite à l'entrée en vigueur du RGPD.
Rappelons en effet que les données personnelles peuvent être exploitées afin de prendre des décisions mieux informées, ou même pour créer de nouveaux produits et services répondant à une demande de la clientèle. Tout comme les citoyens ont pris conscience des risques liés à la collecte de leurs données grâce au RGPD, les grands groupes et les entreprises ont réalisé leur valeur.
En quoi l'impact du RGPD est-il différent pour les grands groupes et pour les PME ?
Comme nous l'avons déjà évoqué, les sanctions liées au RGPD peuvent avoir des conséquences plus graves pour les grands groupes de par leur montant et leur impact sur la réputation. Cependant, de manière générale, le texte n'est pas spécialement adapté aux PME. Les coûts, et notamment l'investissement informatique nécessaire pour se conformer au règlement, sont beaucoup trop élevés pour les petites entreprises.
Par exemple, une petite entreprise qui traite beaucoup de données de par son secteur devra désigner un DPO. Il lui sera donc nécessaire d'embaucher ou de former un employé, ce qui représente un coût non négligeable. Bien que les enjeux soient plus importants pour les grands groupes, il est plus difficile de se conformer au RGPD pour les petites entreprises.
Quelles sont les mesures à prendre par les grands groupes pour s'adapter aux changements liés au RGPD ?
Au sein d'un grand groupe, l'information circule souvent difficilement. Or, la compliance au RGPD concerne l'ensemble de l'entreprise et chacun de ses départements. Une mauvaise communication peut facilement s'avérer nocive à cet égard.
C'est la raison pour laquelle il est essentiel d'assurer la communication dans l'entreprise, de bien déterminer les rôles et de mettre en place des mesures de gouvernance. Tels sont les points essentiels à respecter dans un grand groupe pour se conformer au RGPD.
Les grands groupes ont ils tous passé le cap du RGPD avec succès ?
Je dirais en tous cas que les grands groupes se sont dotés des moyens nécessaires. On s'en aperçoit en constatant que les offres d'emploi pullulent pour les spécialistes et les DPO, ou encore en externe avec les avocats et autres tiers qui reçoivent de nombreuses demandes. C'est notamment le cas chez Altana.
Les grands groupes se sont équipés et sont prêts pour le RGPD, à l'exception peut-être des entreprises B2B. Pour cause, sur ce créneau, la protection des données est perçue comme moins importante que dans le milieu du B2C. Ces entreprises ne traitent pas de données personnelles, et les données des salariés sont généralement négligées. Il y a donc une vraie distinction entre B2B et B2C à ce niveau pour le moment.
Cependant, le texte est tellement flou qu'il y a une réelle différence entre penser qu'on a passé le cap du RGPD et l'avoir réellement passé. Sur la durée de conservation légale des données, notamment, le RGPD reste très vague…
En tant qu'avocat, quel rôle jouez-vous dans ce processus de compliance ? Comment venez-vous en aide aux grands groupes ?
Les grands groupes ne font pas appel aux cabinets d'avocats pour les mêmes raisons que les PME. Les avocats d'Altana sont consultés pour l'aspect juridique, pour encadrer les projets de transformation digitale avec le projet RGPD au centre, ou encore pour l'aspect contractuel. Lequel est largement négligé par les rédacteurs du texte, avec une énorme quantité de contrats à mettre en place notamment à cause de l'article 28 concernant la responsabilité du traitement et la sous-traitance.
Les grands groupes recherchent avant tout des avocats multi-sectoriels, capables de répondre aux problématiques spécifiques aux différents secteurs d'activité. En outre, c'est le sens de l'argumentation et du contentieux des avocats qui est recherché, la capacité à anticiper ce qui pourra être reproché en cas de contrôle et à défendre le groupe le cas échéant. Les consultants peuvent être meilleurs pour les questions de gouvernance, mais les avocats apportent une réelle plus-value à ce niveau.
Quelles sont les interactions entre les avocats d'un groupe et son Data Protection Officer ?
C'est très variable. Parfois, c'est le DPO qui sollicite directement les avocats. Cependant, il arrive que ce soit le service juridique ou même le service marketing qui s'en chargent.
Personnellement, il est rare que j'aie directement affaire aux DPO. Celui-ci se contente bien souvent d'occuper le rôle de » gardien du temple » au sein de son entreprise.
La CNIL compte renforcer les contrôles. Comment bien les anticiper ?
En cas de contrôle, la CNIL reprochera toujours à une entreprise de ne pas s'être posé de questions. En revanche, si l'entreprise a fait un choix réfléchi pour la protection des données, et qu'elle est en mesure d'expliquer son cheminement logique, la CNIL se montrera moins sévère même si ce choix n'était pas le bon.
C'est pourquoi j'aide souvent mes clients à rédiger des notes qu'ils gardent dans leur registre, afin de pouvoir prouver qu'ils ont réfléchi à leurs choix. C'est la meilleure façon d'anticiper un contrôle de la CNIL pour un grand groupe.
Comment s'assurer que les tiers, les prestataires des grands groupes respectent le GDPR ?
C'est une grande question, car il est en réalité très difficile de s'en assurer. Certains tiers disposent de certifications, notamment sur le plan de la sécurité informatique. Ceci permet de s'assurer que les normes seront respectées. Cependant, ce n'est pas toujours le cas.
En guise d'alternative, la meilleure façon de s'assurer que le RGPD soit respecté par les tiers est de mettre en place des contrats regroupant les exigences et les normes de sécurité à respecter. Si le prestataire ne respecte pas ses engagements, il engage directement sa responsabilité contractuelle. Enfin, il est judicieux d'encadrer la relation tout au long de la collaboration pour vérifier que tout se déroule pour le mieux.
- Partager l'article :
