Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

RGPD - GDPR : plaidoyer pour une stabilité normative et réglementaire

Twitter Facebook Linkedin Google + Email
×

Cette semaine, les avocats Pascal Agosti et Isabelle Cantero, du cabinet Caprioli & associés, évoquent l'empilement de lois, normes et réglements sur la gestion des données.

RGPD - GDPR : plaidoyer pour une stabilité normative et réglementaire
RGPD - GDPR : plaidoyer pour une stabilité normative et réglementaire © Hervé Boutet - L'Usine Nouvelle

Toutes les entreprises se préparent avec effervescence - et parfois désordre - à l’arrivée le 25 mai 2018 du Règlement Général de Protection de Données Personnelles (RGPD). Mais voilà, plus la date butoir approche, plus le paysage législatif et réglementaire semble s’étoffer. Et là, l’inflation textuelle peut faire peur.

 

Le RGPD comme tête de gondole

Les entreprises de toutes tailles (mais avant tout les plus grandes) se sont saisies du "chantier conformité au RGPD", tout d’abord sous l’effet anxiogène des sanctions annoncées (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu). Cela étant, au fil des différentes étapes de la mise en conformité, comme celles proposées par la CNIL  (cartographier les traitements, gérer les risques, organiser, documenter), d’autres effets plus positifs ont été mis en avant. Il en est ainsi de la mise en place d’un véritable management de la donnée induit par ce texte qui permet de passer d’une vision en sillo à une vision transverse de la protection des données. Dans le même sens, le respect du RGPD s’inscrit dans la transition numérique et pourra très certainement avoir des conséquences économiques favorables pour l’entreprise (place de marché notamment).

 

A l’approche de la date butoir, les programmes de mise en œuvre / Conformité RGPD fleurissent et peuvent s’appuyer sur des outils tels que celui proposé par la CNIL pour l’étude d’impact, se nourrir des diverses communications institutionnelles (CNIL, lignes directrices du G29) et du travail des  associations de professionnels comme l’AFCDP ayant participé à l’émergence de bonnes pratiques. Attention, la marche à suivre est plurielle …

 

Des compléments via le projet de loi CNIL 3

Le 14 décembre 2017, a été publié le projet de loi pour la protection des données personnelles   qui a fait l’objet d’une analyse d’impact préalable et sur lequel la CNIL et le Conseil d’Etat ont donné un avis. De fait, le RGPD comporte plus d’une cinquantaine de possibilités d’intervention laissée aux Etats membres pour préciser certaines dispositions ou pour prévoir plus de garanties que celles indiquées par le RGPD (ex. article 35 et 36). Sur ce point, certains évoquent même la notion de Règletive. Les marges de manœuvre permises par le Règlement font l’objet du Titre II du projet de loi qui intègre la simplification des formalités préalables à la mise en œuvre des traitements. Notons que la suppression des formalités n’est pas généralisée comme en atteste le régime spécifique prévu par le nouvel article 9 pour le NIR (numéro de sécurité sociale).

 

Attention donc car le projet de loi national a vocation à modifier le périmètre du programme de conformité au RGPD adopté par l’entreprise, ce qui pourra induire surcoûts et retards.

 

De plus, la vision française n’est pas forcément celle des autres Etats membres qui, eux aussi, mettent en place des législations visant à compléter le RGDP comme en atteste la toute nouvelle loi allemande. Donc, une réglementation européenne certes mais adaptée à chaque Etat membre et sur laquelle les 28 autorités de contrôle ont vocation à s’exprimer … mais on nous garantit une action coordonnée...

 

Et au niveau des autorités de contrôle

Le Groupe Article 29 que les juristes et consultants du secteur connaissent bien émet depuis plusieurs mois des recommandations dans différents domaines : Privacy Impact Assessment, DPO, sanctions

 

Parallèlement, les autorités de contrôle nationales ont publié leur Guide d’implémentation du RGPD voire ont devancé la mise en œuvre de certaines nouvelles obligations (ex. le formulaire de notification des violations de données de la CNIL déjà en ligne).

 

Sans oublier les autres instances normatives

Les instances normatives sont, elles aussi, soumises à l’air du temps. Et la privacy fait désormais partie des sujets de préoccupations de l’AFNOR, de l’ISO, du CEN, de l’ETSI… Toutes étant plus concurrentes que partenaires en la matière. De nombreux projets de normes ayant pour dénominateur commun la sécurité technique émergent ainsi comme :

 

Avouons qu’il y a de quoi se perdre. Comment être conforme alors que la réglementation et la normalisation viennent rajouter une couche supplémentaire à un mille feuilles déjà bien chargé ? Il est en outre possible qu’il faille encore alourdir la digestion avec d’autres réglementations qui auront leur impact sur la gouvernance des données comme le projet de Règlement sur les flux de données non personnelles.

 

Il est plus que jamais conseillé de mettre en place une veille réglementaire sur ce paysage réglementaire et normatif, que l’on vous souhaite en cette fin d’année (très sincèrement, nos vœux de circonstance), le plus cohérent et stable possible. 

 

Pascal AGOSTI et Isabelle CANTERO, Avocats associés Caprioli & Associés, société d’avocats
Membres de JURISDEFI

 

Les avis d'experts et les points de vue sont publiés sous la responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Digitale.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale