La conférence sur les données personnelles – Regards croisés public-privé

 

Le jeudi 14 mars, le Collectif du Master 1 IP/IT a organisé une conférence sur la protection des données personnelles, regards croisées privé-public. Deux intervenants, M. Charrier et M. Forêt ont pu répondre aux questions préalablement posées par les étudiants du Master et du Collectif, le tout animé par Mme Groffe.

 

M.Charrier a fait ses études à la faculté de Sceaux jusqu’au doctorat, avant d’y enseigner pendant 7 ans. Il travaille désormais au Ministère de l’Education Nationale depuis 2018 ainsi qu’au Ministère de la Recherche, car la direction juridique travaille pour les 2 ministères. Aujourd’hui il se consacre à l’open data et au droit des données personnelles.

 

M.Forêt est DPO chez le groupe Solocal, qui détient plusieurs filiales comme Pages Jaunes ou Mappy. Le traitement des données personnelles constitue le coeur de Solocal. D’abord spécialisé en IP/IT, il a ensuite été correspondant informatiques et libertés (l’ancêtre du DPO), puis est devenu DPO du groupe le 25 mai 2018.

 

La formation de data protection officer (DPO) a été le premier thème traité:

Selon M. Forêt, avoir un titre de juriste n’est pas un prérequis légal, obligatoire. Le RGPD indique simplement qu’il faut disposer de compétences nécessaires à l’exercice de la mission, qui ne se retrouvent pas forcément dans un diplôme de droit. Mais la dimension juridique est tellement importante qu’officieusement, rares sont les DPO n’ayant aucune formation juridique.

Les deux intervenants ont affirmé que la formation de DPO était très recherchée, surtout depuis l’entrée en vigueur du RGPD.

Dans le domaine du droit privé, la richesse d’un tel poste se traduit selon M. Forêt surtout par le contact avec de nombreux autres métiers. En effet un DPO est amené à travailler autant avec des juristes, un secrétaire général on encore des ingénieurs et techniciens. Les principales compétences requises sont la pédagogie et l’adaptation, pour sensibiliser le reste de l’entreprise à la protection des données personnelles.

Grand sujet d’actualité, une question a été posée concernant l’impact du RGPD sur les utilisateurs et notamment la possibilité d’être anonyme en ligne. Selon M. Forêt, il y a en effet actuellement une certaine prise de conscience sur les droits qu’ont les personnes sur les données, et une augmentation des plaintes à la CNIL.  L’utilisateur est alors devenu un sujet actif dans le traitement de ses données. Par exemple, depuis le 25 mai 2018, date d’entrée en vigueur du RGPD, le consentement aux cookies doit être libre et éclairé en cochant une case: il ne s’agit plus d’un consentement dit « mou ».

Sur le thème du droit à l’oubli, il n’existe pas, en droit public, de procédure spéciale de droit à l’oubli, mais le RGPD s’applique. Certaines données sont conservées, comme le diplôme du baccalauréat ou les fiches de paie, mais il s’agit d’une obligation légale.

Concernant la mise en œuvre du droit à la portabilité dans une entreprise privée, M. Foret affirme que ce droit est limité à certaines hypothèses. Ainsi, il faut que la base légale du traitement soit le consentement ou un contrat.  Le droit à la portabilité est un procédé automatisé qui permet à l’utilisateur de récupérer toutes les données qu’il a fourni ainsi que celles générées à partir de ses activités. Ce droit d’accès aux données permet à un utilisateur de savoir si une entreprise détient ses données.

A propos de la problématique des mineurs, le RGPD oriente plus qu’il ne tranche sur la question de majorité numérique, de sorte qu’il revient aux États membres de fixer la majorité numérique.

Selon M. Charrier, la question des données des mineurs est une question essentielle pour le Ministère de l’Éducation Nationale. Toutefois, les hypothèses où le consentement des représentants légaux des mineurs est nécessaire sont peu nombreuses. En effet, l’immense majorité des traitements de données repose sur des missions de service public, il n’y a pas besoin du consentement du mineur ou de son représentant légal, mais cette mission doit être justifiée.

 

Les intervenants ont ensuite débattu sur la mise en conformité avec le RGPD et les difficultés que celle-ci a suscitées.

Pour M.Foret et son entreprise Solacal, il a fallu simplifier le RGPD afin de sensibiliser tous les niveaux du groupe. Il a également été nécessaire d’expliquer l’inversion de la charge de la preuve qui a été opérée: auparavant, c’était la CNIL qui contrôlait et enjoignait les entreprises de se mettre en conformité. A présent, il y a une obligation d’accountability: la CNIL peut demander à tout moment à une entreprise si elle est en conformité. On assiste à un changement de régime de responsabilité.

Selon M. Charrier, côté droit public, le RGPD impose aux États membres la notion de co-responsabilité qui implique de revoir les traitements de données pourtant bien maîtrisés, d’où la nécessité de recourir à des juristes spécialisés et formés en données personnelles.

Centrale, la question de la pédagogie revient à déterminer comment expliquer les règles techniques dans un langage simple, quels sont les outils à disposition pour ce faire.

Selon M. Charrier, la pédagogie se passe à plusieurs niveaux. Il peut s’agir de formations internes pour sensibiliser sur les différents métiers ; ou encore de la mise en place d’outils comme des forums et FAQ.

D’après M. Forêt, une mise à disposition des moyens de communications est nécessaire afin de rendre visible le DPO. Il peut s’agir de formations et de sensibilisations, avec par exemple des MOOC entre collaborateurs.

L’entrée en vigueur du RGPD a interrogé sur l’occasion de mettre en œuvre de nouveaux outils, tels que des moyens de lutter contre les fuites de données.

D’après M. Forêt, certains ont vu l’entrée en vigueur du RGPD comme une opportunité de business, et on a assisté à un développement d’outils permettant de gérer la conformité des entreprises et notamment la vente d’outils labellisés. Au niveau interne, des registres de traitement pour les responsables de traitements et les sous-traitants se sont développés.

Sur la portée du RGPD et l’existence d’un accompagnement au niveau de l’Union européenne, les intervenants ont tous deux affirmé que le RGPD compte beaucoup de zones d’ombres. Face à cela, une possibilité serait de recourir à une certaine forme d’harmonisation Une doctrine de l’Union européenne se dégage afin de savoir ce que signifient les règles.

 

Enfin, le thème des sanctions a été abordé.

La première sanction contre Google de 50 millions d’euros a permis d’envoyer un message fort, qui était attendu en Europe. Pour M. Foret, il s’agit d’une bonne réponse face au scepticisme quant à l’égalité ou non devant la non-conformité de certaines entreprises.

Les sanctions ont pour conséquence notamment une perte de confiance des utilisateurs, qui peut avoir des effets ravageurs pour les entreprises. La publicité des sanctions entraîne également un risque de perte du chiffre d’affaires des entreprises, leur non-conformité pouvant entraîner des résiliations contractuelles.

 

Pour conclure, cette conférence très enrichissante a permis de comprendre les enjeux actuels de la protection des données personnelles, en droit public et en droit privé, ainsi que le rôle d’un DPO. Un grand merci à Madame Groffe, responsable du Master 1 IP/IT qui a permis l’organisation de cette belle conférence, et au Collectif pour cette initiative.

 

Nous remercions Océane Tristant pour ce résumé de la conférence!