Le numérique renforce le besoin de protection des données personnelles

Avec l’importance grandissante des données dans l’économie numérique, les entreprises doivent se montrer d’une extrême vigilance et veiller au respect des obligations légales relatives aux données personnelles. La désignation d’un Correspondant Informatique et Libertés (CIL) peut faciliter la tâche. Afin de comprendre le contexte juridique et les enjeux, je me suis entretenu avec Betty Sfez, avocate au sein du Cabinet Deleporte Wentz Avocat, spécialisée en droit des nouvelles technologies et tout particulièrement en matière de protection des données personnelles et de la vie privée.

betty Sfez bureau

Depuis la création de la loi informatique et libertés le contexte a évolué. En 1978 quand fut promulguée la loi « informatique et Libertés » internet en était à ses balbutiements. Les données stockées à l’époque dans les centres informatiques des entreprises pourraient quasiment tenir aujourd’hui sur le disque dur d’un ordinateur familial. Le contexte a bien changé en 2015, la donnée est devenue l’un des moteurs principaux de l’économie numérique et les grands acteurs du Web sont passés maitres dans l’art de traiter de grandes masses de données. Pour offrir des services de plus en plus personnalisés et anticiper le comportement des consommateurs, les entreprises sont amenées à collecter de très nombreuses données. Nous même, à titre personnel, nous laissons de multiple informations, volontairement ou involontairement, sur les sites marchands, les réseaux sociaux et dans le cloud. Une abondance de données personnelles qui pourrait facilement porter atteinte à nos vies privées.

 Sommes-nous bien protégés par la loi ? En 2004, la loi Informatique et libertés a été modifiée. Elle encadre tous types d’opérations portant sur des données permettant d’identifier directement ou indirectement une personne physique. Mais cette loi, avec son décret protection donnée personnelle reglementtiond’application en 2005, n’est que le résultat de la transposition en droit français de la directive européenne 95/46/CE de 1995. Il aura donc fallu près de 10 ans pour adapter le droit interne, soit une éternité lorsque l’on sait à quelle vitesse les innovations technologiques fleurissent. Face à la révolution numérique, la Commission européenne a décidé de réformer le cadre légal existant et a publié, le 25 janvier 2012, un projet de règlement relatif au traitement de données à caractère personnel. L’adoption de ce projet a pris du retard. Difficile de trouver un consensus à 28 pays sur un sujet dont la sensibilisé de chacun varie selon son histoire. L’enjeu est important, il s’agit de protéger la vie privée sans pour autant briser l’élan de l’économie de la donnée ni céder au lobbying des GAFA. Toutefois, les bases juridiques existent et dictent déjà de nombreuses obligations aux responsables de traitements (en principe le dirigeant de l’entreprise ou le chef de service de l’organisme public en charge des traitements de données). L’idéal serait bien sûr d’arriver à créer des produits et des services qui respectent dès leur conception ces obligations légales. C’est le concept introduit par le projet de règlement européen de « Privacy by design » ou « data protection by design ».

 Respecter la loi nécessite une double compétence juridique et informatique. Nul n’est censé ignorer la loi, mais il faut reconnaitre que pour suivre à la lettre la loi informatique et libertés on doit disposer à la fois de bonnes connaissances informatiques et juridiques. Une double compétence que l’on trouve rarement dans une même direction. Pour parer à cette difficulté la notion de Correspondant Informatique et Libertés (CIL ou Data Protection Officer DPO en anglais) a été inclue dans la loi de 2004 et son décret d’application de 2005. Dix ans donc que cette fonction existe mais qui n’est toujours pas obligatoire alors qu’avec le développement des solutions de Big Data et de machine learning il est facile de franchir les limites de la vie privée. Il ne suffit pas de se retrancher derrière des données anonymisées. L’anonymat peut vite être remis en cause par des recoupements et l’utilisation d’algorithmes si on ne veille pas à garantir que la chaine d’anonymat n’est pas cassée.

 La complexité des traitements et la connaissance de la loi plaident pour la désignation d’un CIL. De crainte d’être « ubériser » ou pour résister aux géants d’Internet qui viennent les concurrencer sur leurs terres, toutes les entreprises vont devoir accélérer leur transformation numérique. La généralisation des objets connectés offre également des opportunités pour de nouveaux services qui peuvent vite empiéter sur la vie privée s’il n’y a pas un CIL chargé d’assurer le respect des obligations à la loi. Le CIL joue donc un rôle de conseil auprès du responsable de traitement. Sa désignation présente de nombreux intérêts pour une entreprise et peut constituer un réel avantage concurrentiel et social. Les risques de contentieux sont réduits et des erreurs stratégiques lors du lancement de nouveaux services ou produits peuvent être évitées.

Pour assurer sa mission le CIL peut compter sur le support de la CNIL. Aucun agrément n’est exigé à ce jour et aucun diplôme n’est requis pour être CIL  mais, dès sa désignation par le responsable de traitement, le CIL s’enregistre auprès de la CNIL et bénéficie alors de ses services. Un accompagnement personnalisé lui est proposé par l’intermédiaire d’ateliers d’informations, d’un extranet et de réponses rapides aux demandes de conseil juridique. La désignation d’un CIL est aussi une étape vers l’obtention du label « gouvernance » de la CNIL pour améliorer la confiance des utilisateurs dans des produits et des procédures en termes de protection de la vie privée. Avec le renforcement des droits des personnes et des obligations des entreprises dans le projet de règlement européen on peut s’attendre à ce que le CIL devienne obligatoire.

 Entre obligations et sensibilisation. Par définition, la question de la protection des B Sfez face V1données personnelles concernent tout le monde.. Au-delà des obligations légales il est nécessaire de sensibiliser les entreprises, leurs employés et les futurs entrepreneurs. Un travail effectué régulièrement par Maître Betty Sfez au travers de conférences, d’accompagnement de start-up et de cours dans des écoles ingénieurs. Le métier d’avocat d’affaire évolue lui aussi avec le numérique. Il deviendra bientôt difficile pour un avocat de continuer à conseiller ses clients sans une bonne connaissance des aspects numériques pour en comprendre les implications dans le fonctionnement et la stratégie de l’entreprise.

Blog du cabinet Deleporte Wentz Avocat

Publicités

Une réflexion sur “Le numérique renforce le besoin de protection des données personnelles

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s