Créé en 1998, Virtugalegis est un cabinet de niche dédié aux PME et aux jeunes entreprises innovantes. Son fondateur, Pascal Alix, intervient principalement en droit des TIC ainsi qu’en droit de la propriété intellectuelle. Il revient sur ses missions en tant que correspondant informatique et libertés externe ainsi que sur l’entrée en application l’année prochaine du règlement européen sur la protection des données à caractère personnel.

Décideurs. Quelles sont les difficultés auxquelles doivent faire face vos clients dans leurs initiatives liées aux nouvelles technologies ?

Pascal Alix. Ce sont, le plus souvent, des difficultés liées à des problèmes de définition et de cadrage des projets (choix de multiples services en mode SaaS et de progiciels parfois mal intégrés au SI, appel à des multiples prestataires, sans projet clair, coordination imparfaite entre les prestations et les services utilisateurs, absence de matrice d’habilitation et de gestion des accès), ainsi que des difficultés liées aux choix techniques et technologiques en eux-mêmes. En d’autres termes, les obstacles les plus fréquents naissent d’une mauvaise gouvernance des traitements et des données, source de multiples insécurités, techniques et juridiques. C’est notamment à cela que le règlement général sur la protection des données (RGPD) cherche à remédier, en définissant des règles générales ayant pour objectif d’atteindre une bonne gouvernance des traitements et des données. Je pense notamment aux process en matière de sécurité et de gestion des données par catégories, le privacy by default et le privacy by design, les études d’impact ainsi que les règles de documentation des traitements.
 

« Les obstacles les plus fréquents naissent d’une mauvaise gouvernance des traitements et des données »

Quel impact aura le Règlement général sur la protection des données personnelles GDP sur les entreprises ?

Le RGDP est un tsunami dont la majorité des entreprises n’a pas encore saisi l’impact. La maturité des entreprises face au règlement est cependant extrêmement variable. Elle dépend de leur taille, de leur activité (plus ou moins « data driven »), de leur organisation et surtout de l’existence ou non d’un correspondant informatique et libertés (CIL) interne ou externe. Il ne surprendra personne que les grandes entreprises qui ont désigné un CIL il y a une dizaine d’années ont un niveau de maturité par rapport au RGPD très nettement supérieur à celui d’une TPE ou d’une PME qui n’en a pas encore désigné un.

La question de la maturité et du « timing » de la mise en conformité est cependant essentielle, notamment pour le très grand nombre d’entreprises qui traitent des données en qualité de sous-traitant telles que les éditeurs de solutions logicielles en mode SaaS. Le RGPD étend le rôle des sous-traitants et augmente leur responsabilité. Les responsables de traitement auront l’interdiction de passer des marchés avec des sous-traitants non conformes, ce qui conduira inéluctablement à de nombreux déréférencements.

Des pans entiers de l’industrie et des services risquent d’être recomposés au profit des entreprises conformes. Cette recomposition s’effectuera au niveau de l’Union européenne étant donné l’unicité de la réglementation, immédiatement applicable dans tous les États membres dès le mois d’avril 2018. Elle commencera ainsi en 2018 et augmentera probablement l’année suivante après les premières lourdes sanctions prononcées par la Cnil ou d’autres autorités de régulation.



Vous êtes également correspondant informatique et libertés externe (futur Délégué à la protection des données). Quelles sont vos principales missions ?  

Mes missions en qualité de CIL externe concernent d’une part une société française (éditeur de logiciels), filiale d’un groupe dont la société mère est située aux Etats-Unis et d’autre part, une TPE qui exerce ses activités en ligne. La grande majorité des prestations du cabinet consiste en des prestations d’audit et d’accompagnement hors mission de CIL externe (conseils en vue de la mise en conformité au RGPD, accompagnement de CIL, préparation des demandes de déclaration et d’autorisation de traitements à soumettre à la Cnil, assistance en cas de demande d’accès). L’offre de préparation au règlement montée avec une société de conseil en sécurité information (Nystek) devrait nous apporter de nouvelles missions avec, en perspective, des désignations en qualité de délégué à la protection des données (« data protection officer » ou « DPO ») à partir de mai 2018.
 

Vous enseignez le droit des données à caractère personnel à l’ENSAE Paris Tech. Vos étudiants se sentent-ils concernés par la nouvelle réglementation ? 

L’objectif du cours « Big data et droit des données » de l’ENSAE Paris Tech est de présenter les différents aspects juridiques liés à l’utilisation des données personnelles, notamment dans les secteurs exploitant des données massives. Les étudiants, qui sont en fin de scolarité (3e année, voie de spécialisation en « Data Science ») se sentent effectivement très concernés par la nouvelle réglementation européenne autour de laquelle l’enseignement est désormais articulé. Les étudiants au profil d’ingénieur sensibiliseront probablement les entreprises qui les recruteront sur la nécessité de changer de paradigme en matière de conformité au RGDP qui n’est pas uniquement une question de technique ni une simple question juridique mais une question plus vaste de gouvernance.
 

« La conformité au RGDP n’est pas seulement une simple question technique et juridique mais une question plus vaste de gouvernance »

 

Vous avez récemment travaillé sur un dossier concernant un système de vidéosurveillance. Quels sont les points juridiques à améliorer pour ne pas porter atteinte à la vie privée ? 

La constitution des dossiers à déposer à la Cnil et/ou à la Préfecture (deux dossiers à déposer dans environ 50 % des cas) repose sur des éléments principalement techniques (schéma des installations, système d’information, réseau, sécurité, système d’enregistrement et d’effacement, etc.). Le point juridique auquel il convient de prêter une attention particulière est à mon sens lorsqu’il y a une double déclaration à effectuer, c’est-à-dire la détermination du périmètre de chaque régime applicable. Il existe en effet deux réglementations : celle de la vidéoprotection concernant les dispositifs installés sur la voie publique ou dans des lieux accessibles au public (déclaration à la préfecture) et celle de la vidéosurveillance concernant les dispositifs faisant des captures d’images dans les lieux non ouverts au public (déclaration à la Cnil). Il convient ainsi d’être attentif au nombre de caméras installées dans chaque zone, celui-ci ayant des conséquences juridiques. L’affichage n’est par ailleurs pas toujours conforme (emplacements et mentions). Il n’est pas rare que les responsables de traitement prennent des libertés en ce qui concerne les durées de conservation des images ainsi que la gestion des habilitations et l’accès aux enregistrements.


Propos recueillis par Margaux Savarit-Cornali

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail