W1siziisimnvbxbpbgvkx3rozw1lx2fzc2v0cy9myxvyzw5jzsbtaw1vbnmvanbnl3n1yi1iyw5uzxiylmpwzyjdxq

Blog

Du GDPR au nouveau monde de 2021: les révolutions s’accélèrent

22 Dec 11:00 by Laurent Pompanon

W1siziisijiwmjavmtivmjivmtivmtivmjmvyme0ntvkzdctmwrmnc00nmrkltkzmgityjg2nmfmntdhotzhl0fubmuttwfyawugugvjb3jhcm8uslbhil0swyjwiiwidgh1bwiilci4mdb4nduwiyjdxq

Laurent Pompanon (LP): Bonjour Anne-Marie, merci de repondre a nos questions.  Pouvez-vous presenter a nos lecteurs en quelques mots votre parcours et l'etendue de votre pratique?

Anne-Marie Pecoraro (AP) : J’ai débuté passionnée de droit économique, de droit de l’audiovisuel, et de technologies, en décidant de me perfectionner sur la production et l’analyse des financements et recettes de films. Ce fût un goût et une conviction plus qu’un parti pris, de défendre la création ; et la chance, le hasard et les affinités ont voulu que je représente de plus en plus d’ayant droits et de propriétés intellectuelles. J’ai travaillé à la SACD, puis pour des productions audiovisuelles puis de musique. J’ai ensuite prêté serment en continuant à défendre des projets audiovisuels et musicaux, et des designers très célèbres notamment pour la protection de leurs marques et licences.

J’aime écouter et soutenir les porteurs de projets créatifs, structurer des stratégies pour leur permettre de se développer. Les années 90 et 2000 ont été celles des révolutions technologiques, aussi j’ai enraciné ma pratique dans la technique, la culture, l’expertise, mais en intégrant perpétuellement l’innovation. C’est aussi ce que nous devons aux générations futures que nous contribuons à former : leur livrer des clefs de compréhension du futur, grâce à des connaissances solides et à la préoccupation de solutions éthiques. La loi informatique et liberté a connu des développements fondamentaux, des rebondissements jurisprudentiels captivants, et je m’y suis plongée pour aider mes clients à l’intégrer. Il y a eu la révolution GDPR qui a apporté un énorme plus à l’Union Européenne, en donnant le LA et l’exemple au monde, et j’ai accompagné mes clients à travers chaque disruption et nouvelle grille de lecture.

La compréhension des secteurs de mes clients -  techno, media, culture, luxe, art de vivre, organisations philanthropiques ou syndicales etc – a permis à mon équipe de développer un style dynamique et stratégique, connu en propriété intellectuelle, défense des marques, droit des media et de la communication, droit des technologies, droit économique.

LP: Vous avez recemment rejoint le cabinet UGGC, qu'est-ce qui a motive ce choix et quelles sont vos ambitions communes? 

AP : Je désirais vivement rencontrer des associés que je pourrai compléter dans une excellente entente, et l’évidence est apparue avec la rencontre des excellentes équipes d’UGGC Avocats, offrant le profil des avocats de demain, prêts à surmonter toutes les transformations des marchés pour proposer une offre complète d’expertises pointues, avec force et envie de construire l’avenir ensemble. Je partage beaucoup de valeurs avec UGGC, une vision internationale, une complémentarité des points de vue dans la diversité.

LP : Je vous crois très active, entre autres, sur les questions de RGPD. Quelles sont les problématiques majeures auxquelles vos clients sont confrontés ?

AP : Faisant face depuis des années aux problématiques des clients relatives à la protection et au traitement des données personnelles, je me suis consacrée à offrir une expertise de qualité, renforcée par ma fusion avec UGGC où mes associées Corinne Khayat et Elisabeth Logeais ont une solide expérience en la matière. Sites de vente, de services, de jeux, organisations caritatives, groupes étrangers, pour tous types d’opérateurs nous aidons nos clients à reprendre le contrôle de leurs process pour une meilleure conformité. Nous apportons à nos clients une expertise reconnue en matière de technologies de l’information, avec des méthodes de travail et une éthique cohérente avec le RGPD. Notre organisation de travail efficace s’inscrit dans une stratégie de communication globale pour le plus grand intérêt des clients. En effet le RGPD n’est pas toujours une contrainte, mais également un argument de valorisation d’une organisation, lorsqu’elle arrive à se prévaloir des efforts faits, contre ses concurrents. Nous avons toujours encouragé les liens à l’échelle internationale en nouant des relations privilégiées avec des correspondants européens, américains, asiatiques et cette confrontation à la concurrence internationale donne une vision enrichie des forces du RGP.

L’entrée en vigueur du Règlement général sur la protection des données personnelles (le fameux « RGPD »), le 25 mai 2018, a mobilisé des enjeux économiques, éthiques et sociétaux considérables. Nous travaillons en partenariat avec des experts (comme les Délégués à la Protection des Données "DPO" de DPO-CSE EXPERTISE, ou les experts en cybersécurité d’EBRC), nous pouvons utiliser des logiciels et legal tech appropriés pour accompagner le RGPD sur plusieurs pays.

Tous les clients sont concernés par les questions relatives aux données personnelles – données personnelles qu’ils doivent traiter, collecter, transférer conformément au RGPD. Le premier niveau ou la première approche du travail de mise en conformité prend souvent la forme d’audits, dit « audits RGPD », sur lesquels notre cabinet travaille en équipe. Il s’agit d’un travail formateur – y compris pour les collaborateurs des clients – car il nécessite de progresser dans une bonne connaissance du RGPD et de s’ouvrir à des idées innovantes et pratiques pour adapter les recommandations à la structure et à son marché – fondations, entreprises, cabinets de conseils etc.

Nous avons ainsi eu l’occasion de travailler avec de nombreuses institutions, écoles, régies de transport, ou encore instituts de santé, avec la question plus particulière des données de santé que nous connaissons bien, s’agissant d’audits et de mises en conformité au regard du RGPD.

Enfin, comme il s’agit d’une règlementation récente – évolutive et qui manque parfois de clarté – je suis sollicitée presque quotidiennement sur toutes sortes de questions relatives au RGPD : modes de collecte de données, protection des données sensibles notamment médicales, preuves du recueil du consentement, et en particulier transfert de données hors-UE. En effet une première « bombe » avait bouleversé le paysage international USA-UE avec l’annulation du Safe Harbor par la CJUE en 2015 de telle sorte qu’ un autre accord avait été mis en place en juillet 2016, dit Privacy Shield. A nouveau ce dispositif a été annulé, conduisant les clients à des mesures d’urgence !

LP : Vous venez d’évoquer les questions de transferts de données avec l’étranger, que remet en cause la récente invalidation du « privacy shield » par la CJUE (Cour de Justice de l’Union Européenne) ? Qui est concerné et que va-t-il se passer dans les prochains mois ?

AP : Le RGPD prévoit qu’un transfert de données hors UE ne peut être réalisé que si

(i) des garanties appropriées sont mises en place

et si

(ii) les personnes concernées disposent de droits effectivement opposables (Article 46, paragraphe 1 et paragraphe 2, sous c), du RGPD).

Le Privacy Shield ou « Bouclier de protection des données » en français, relevait d’un accord conclu le 12 juillet 2016 par la Commission de l’Union Européenne, le Département américain du Commerce et l’Administration Suisse.

Il visait à mettre en œuvre un mécanisme de protection des données personnelles transférées depuis l’UE et la Suisse, aux Etats-Unis.

Comme je l’indiquais, cet accord remplaçait le précédent dispositif Safe Harbor ou « Sphère de sécurité » en français, qui avait déjà été annulé en 2015 par la CJUE lors de l’arrêt dit « Shrems 1 » !

La CJUE a donc également annulé le Privacy Shield le 16 juillet dernier par l’arrêt dit « Shrems 2 » . C’est une situation qui n’est pas inédite mais qui peut se révéler difficile à traverser. La Cour a en effet considéré pour de multiples raisons que le Privacy Shield ne donnait pas de garanties suffisantes pour la protection.

Sont concernés : Tous les opérateurs auxquels le RGPD s’applique, susceptibles de faire circuler des données personnelles en dehors de l’UE et aux Etats-Unis (par exemple sur des serveurs situés en sol américain).

Pour le moment, ces opérateurs ne disposent pas d’un cadre juridique certain leur permettant de réaliser ces transferts.

Ils doivent donc s’assurer transfert par transfert de respecter toutes les conditions de sécurité posées par le RGPD.

Le Comité Européen de la Protection des données (CEPD), qui est une sorte de « CNIL européenne » qui chapeaute l’action des autorités européennes en matière de données personnelles, a publié le 11 novembre des lignes directrices pour aider les entreprises à y voir plus clair.

Il a détaillé un guide de 6 étapes permettant de s’assurer de la licéité du transfert à l’étranger :

1- Identifier les transferts ;

2 – Identifier les outils de sécurité permettant de les sécuriser ;

3- Analyser leur effectivité ;

4 – Adopter des mesures complémentaires ;

5 – Les intégrer ;

6 – Réévaluer fréquemment la sécurité des transferts.

Les opérateurs les plus prudents feront appel à des professionnels de la donnée tels que notre cabinet pour les aider dans cette démarche.

LP :  Selon vous, quel pourrait être l’impact du Brexit sur les questions de transfert de données entre l’Union Européenne et le Royaume-Uni ?

Le Royaume-Uni s’est retiré de l’Union Européenne le 1er janvier 2020.

Mais l’accord de retrait (article 71) prévoit que les dispositions du RGPD y demeurent applicables jusqu’au 31 décembre 2020.

Jusqu’à cette date le Bexit n’a donc pas encore d’impact sur les questions de transfert de données entre l’UE et le Royaume-Uni.

Le Royaume-Uni fait fictionnellement encore partie de l’Union Européenne en ce qui concerne la protection des données personnelles.

Dans tous les cas après cette période de transition, au 1er janvier 2021, le gouvernement anglais a annoncé sa décision de conserver le RGPD dans l’ordre juridique anglais. (1).

D’une part, comme le Royaume-Uni est un système dit dualiste, il a intégré en substance le RGPD dans son propre ordre juridique en 2018, en adoptant une loi sur la protection des données qui reprend toutes les dispositions du RGPD (Data protection act). Donc le Royaume-Uni présente déjà un certain niveau de sécurité.

D’autre part, il n’est pas exclu que dans le deal qui sera conclu à la fin de l’année il soit prévu que par exception au Brexit le RGPD continuera à s’appliquer au Royaume-Uni.

Mais si vraiment aucun deal n’est conclu – c’est l’hypothèse du no deal – alors il faudra prévoir des garanties, par la recherche d’un niveau de protection équivalent.

Soit par la conclusion d’une sorte de Privacy Shield entre l’UE et le Royaume-Uni, en espérant qu’il ne soit pas annulé !

Soit par la mise en œuvre par chaque opérateur, transfert par transfert, de mesures de sécurité. Le CEPD - la « CNIL européenne » déjà évoquée – a anticipé cette situation en édictant en 2019 déjà une note sur les transferts de données aux Royaume-Uni en cas de no deal.

Elle est accessible sur internet. (2) Elle reprend en substance les mêmes étapes que doivent appliquer les opérateurs qui souhaitent faire des transferts aux US maintenant qu’il n’y a plus de Privacy Shield : il faut identifier les traitements et les sécuriser.

Là encore, un opérateur prudent qui souhaite transférer des données au Royaume-Uni après le 1er janvier 2021 contactera un professionnel.

LP : Les problématiques de cyber-sécurité sont au cœur des préoccupations de beaucoup d’entreprises, quel est votre rôle d’avocate dans ce contexte, avec quels interlocuteurs travaillez-vous et sur quelles questions ?

AP : Les questions de cybersécurité sont effectivement au cœur des préoccupations de mes clients et une priorité au regard du RGPD.

Mon rôle d’avocate est d’accompagner mes clients notamment pour :

  • que mes clients se dotent, en amont, des technologies leur permettant de protéger à la fois leur patrimoine informationnel et celui des personnes dont ils traitent les données
  • que mes clients puissent continuer leur activité même après l’identification d’une atteinte à leur cybersécurité, qu’elle soit intentionnelle (cyberattaque) ou non. Dans ce cas, mon travail peut être, à titre non-limitatif, d’accompagner les plaintes au pénal, d’effectuer un signalement au titre de l’article 40 du Code de procédure pénale, de mettre en œuvre les procédures d’alertes, de cadrer les responsabilités.

Par ailleurs, comme il s’agit de questions essentiellement techniques, nous travaillons, depuis 2019, en partenariat avec DPO CSE EXPERTISE (GIE de consultants en protection des données intégrant des techniciens et DPO) ainsi qu’avec le prestataire de services spécialisé en cybersécurité EBRC.  Ensemble, nous proposons une offre 360° et pouvons répondre à toutes les problématiques rencontrées par nos clients : pour : ASSISTER, SOUTENIR et CONSEILLER les DPO internes à l’entreprise ainsi que les équipes techniques. 

Avec DPO CSE EXPERTISE, nous  accompagnons nos clients en proposant des services de DPO et de cybersécurité externalisée vers les TPE, PME, ETI, GE, CSE, Organismes à but non lucratif, Syndicats professionnels. Nous avons l’expérience de terrain alliant nos expertises à dimension légale (incluant l’international) ainsi qu’aux nouveaux outils technologiques. Nous assurons la partie cybersécurité à travers les audits, tests de vulnérabilités (Web, serveurs, réseaux, poste de travail, Services numériques etc…) et d’intégrités ainsi que des simulations d’attaques. Nous mettons à disposition des conseils et recommandations concernant les mécanismes d’authentification, de système de journalisation ainsi que pour la mise en œuvre TLS25 pour un site web et les normes ISO/CEI 27000. Nous accompagnons nos clients dans toutes les étapes par l’assistance et l’accompagnement projets (MOA) et surtout le maintien en conformité avec notre suivi sur le long terme. (3)

Finalement, j’aimerais conclure une perspective plus globale : les questions de notre présent entretien, celle du transfert des données depuis l’Europe vers des serveurs situés aux Etats-Unis, renvoient vers l’épineuse problématique de la souveraineté technologique.

On note ainsi un glissement, de la souveraineté étatique, qui pouvait être notre modèle historique, vers une souveraineté technologique des plus grandes entreprises du numérique ; lorsqu’on sait que les GAFA ont un chiffre d’affaires supérieur au PIB de la France, et lorsqu’on connaît la volonté de leurs dirigeants d’assoir leurs places dans la sphère internationale de façon concurrente aux Etats, il faut être conscient de la très forte influence de ces géants sur les normes adoptées, notamment juridiques.

Pourquoi la France, et plus généralement en Europe, auraient-elles plus de peine à créer des champions des plateformes dont les américains ont l’apanage ?

Les avocats encouragent toutes les start-ups françaises, toutes les potentielles « Licornes », afin que la France, en rétablissant sa souveraineté technologique, rétablisse également son potentiel de developpement et de croissance.

1. After the end of the transition period, GDPR will be retained in UK law and will continue to be read alongside the Data Protection Act 2018, with technical amendments to ensure it can function in UK law. The UK remains committed to high data protection standards. »), sur : https://www.gov.uk/guidance/using-personal-data-in-your-business-or-other-organisation-after-the-transition-period.

2. EDPD, Information note on data transfers under the GDPR in the event of a no-deal Brexit, Adopted on 12 February 2019, Updated on 4 October 2019, sur : https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12-infonote-nodeal-brexit-october_en.pdf.

3. Start-up valorisée à plus d’un (1) milliard de dollars.