Le développement de l’ère numérique a occasionné une multiplication des fichiers contenant des données personnelles. Administrations, grandes entreprises, banques, commerçants en ligne, réseaux sociaux… autant d’acteurs institutionnels et économiques qui disposent de données personnelles. L’exploitation de ces dernières est parfois sujette à caution et soulève de nombreuses questions de droit : droits d’accès, de rectification et d’effacement des données, protection des mineurs…
Au-delà de la dimension juridique, la protection des données personnelles pose également la question de la sécurisation des réseaux informatiques qui abritent ces données. Pour les plus grands groupes, le sujet est un enjeu majeur pour ce qui concerne la gestion des risques. Aussi, nous assistons aujourd’hui au recrutement de juristes mais aussi de profils plus polyvalents ayant une double culture à la fois juridique et informatique. Le recours à des consultants venus d’horizons divers est également d’actualité.
Entré en vigueur en mai 2018, le règlement européen sur la protection des données personnelles (RGPD) se donne pour objectif de renforcer les droits des citoyens en matière de protection des données personnelles. Le RGPD s’applique à tous les organismes, publics comme privés, qui procèdent au traitement de données personnelles sur support informatique ou papier. La méthode utilisée vise à responsabiliser davantage les organismes concernés en leur demandant de garantir une protection optimale des données personnelles et d’être en capacité de produire une documentation attestant des dispositifs effectivement mis en place. L’entreprise qui méconnaîtrait les dispositions du RGPD s’expose à une lourde sanction financière pouvant atteindre 4% de son chiffre d’affaires mondial.
Les principaux droits des citoyens consacrés par le RGPD sont les droits d’accès, de rectification, d’effacement et le droit à la portabilité qui permet de demander aux gestionnaires d’une plate-forme de communiquer les données personnelles détenues en vue de les livrer à une autre plate-forme.
Rattaché le plus souvent à la direction des affaires générales, le juriste en charge de la protection des données personnelles tient une place importante dans le dispositif de gestion des risques interne à l’entreprise. Il exerce une mission transversale qui requiert une certaine autorité mais aussi une forte aptitude au relationnel puisque le juriste doit pouvoir s’assurer du concours de l’ensemble des responsables des directions et des services qui sont parties prenantes dans le traitement de données personnelles.
Concrètement au démarrage, le juriste devra se rapprocher de l’ensemble des services concernés et des éventuels sous-traitants. Il recense ensuite les différents types de données et identifie les données sensibles, en particulier celles qui sont relatives à la santé, à l’existence de sanctions pénales ou encore aux opinions politiques et religieuses.
Une fois ce premier recensement réalisé et les différents acteurs mobilisés, le juriste en protection des données personnelles est en mesure de prioriser les actions à engager. Lorsqu’il est manifeste que la détention de certaines données comporte un risque pour les droits et libertés des intéressés, le juriste engage une étude d’impact afin de définir avec pertinence la manière avec laquelle ces données doivent être traitées.
Le juriste en protection des données personnelles doit être particulièrement vigilant et réactif. Dès la mise en service d’une application ou du traitement de nouvelles données, il mobilise les acteurs concernés, évalue l’opportunité de détenir ces données au regard de la finalité et s’assure du caractère opérationnel des dispositifs de sécurité. Il met systématiquement à jour la documentation prévue par le RGPD, en particulier le registre de traitement des données.
En professionnel de la gestion des risques, le juriste en poste doit anticiper les réclamations susceptibles d’être portées par les personnes concernées. À cette fin, il organise les processus internes et met en place un plan de formation à destination des personnels intéressés.
Le pilotage de la protection des données personnelles au sein des grands groupes est, dans la très grande majorité des cas, confié à des juristes titulaires a minima d’un Master II en droit des affaires ou droit des contrats. Une formation complémentaire en droit des nouvelles technologies est particulièrement appréciée.
Le juriste en protection des données personnelles, pour être réellement opérationnel dans l’exercice d’une mission transversale, doit avoir une très bonne connaissance de la culture d’entreprise et du Corporate. Ce prérequis nécessite, le plus souvent, une expérience d’au moins 5 ans dans un poste similaire. Son efficacité est également conditionnée par l’existence d’une réelle curiosité juridique puisque le titulaire du poste va devoir intégrer une réglementation très récente et en constante évolution, le droit devant sans cesse s’adapter à l’évolution technologique.
Les recruteurs sont de plus en plus séduits par des profils hybrides alliant cultures informatique et juridique. D’ailleurs, des formations universitaires de niveau Master II se multiplient pour faire face à la demande. Ce type de professionnel apparaît dans de nombreuses entreprises sous l’appellation « Data Protection Officer ». Ces nouveaux acteurs de la gestion des risques sont en capacité de vérifier en temps réel le circuit d’une donnée, de savoir où cette dernière est stockée, à qui elle a été transmise et quelle utilisation en a été faite. En outre, ils évaluent avec précision la conformité des systèmes d’information avec les exigences législatives et réglementaires applicables.
Les attentes des recruteurs ne sont pas les mêmes en fonction de la dimension des entreprises, de la complexité des réseaux et applications informatiques utilisés, de la nature plus ou moins sensible des données personnelles détenues. Il existe donc, en fonction des cas, une multiplicité de profils susceptibles de porter la responsabilité du traitement des données personnelles. Mais dans le contexte actuel, ces professionnels ont vocation à détenir un rôle clé dans la politique de gestion des risques des plus grands groupes. En effet, les citoyens sont devenus très vigilants quant à l’utilisation qui est faite de leurs données personnelles. Ils souhaitent, à juste titre, avoir la certitude que les données qu’ils confient soient utilisées à bon escient et en toute sécurité. Une situation contentieuse liée à une utilisation inappropriée ou illicite de données personnelles peut conduire à mettre en grande difficulté un groupe de dimension mondiale.
Les besoins des entreprises dans ce domaine sont avérés, urgents et complexes. Le recours à un avocat ou juriste en management de transition pourra être pertinent pour conduire la phase d’implémentation du RGPD et/ou conduire la phase de « run », en permettant d’aller vite, sans attendre un recrutement et en s’appuyant sur un savoir-faire vérifié.
Le cabinet DESCLÈVES & Associés a notamment piloté de nombreuses missions de mise en place ou de suivi du RGPD, avec des intervenants sélectionnés, de tout niveau d’expérience selon les besoins précis de ses clients.
Rédaction sous la supervision d’A. Desclèves.