Comment se mettre en conformité avec le RGPD ? Selon Thiébaut Dévergranne, les entreprises et e-commerçant doivent avant tout s’assurer que les prestataires, logiciels et solutions qu’ils utilisent soient conformes à la nouvelle loi. Interview.
 Thiébaut Dévergranne est docteur en droit privé et spécialiste des nouvelles technologies.
Auteur d’une thèse sur « La propriété informatique », il a notamment mis ses connaissances en droit de l’informatique au service de l’Etat en 6 ans de missions pour la direction centrale de la sécurité des Systèmes d’Information (DCSSI). En savoir plus sur son site internet : Donnéespersonnelles.fr |
Lire aussi : RGPD, quelles conséquences pour l’email marketing ?
Interview de Thiébaut Devergranne, Expert RGPD
Brevo se prépare activement à l’arrivée du RGPD qui entrera en vigueur en 2018. Quels changement majeurs voyez-vous par rapport aux lois déjà existantes (informatique et liberté…) ?
Pour aller à l’essentiel, le GDPR (RGPD) c’est la loi informatique et libertés mise à jour, avec de vraies sanctions.
Dès lors que vous traitez des données personnelles au sens de la loi (un nom, un prénom, l’image d’une personne, son numéro de sécurité sociale, etc.) sur vos systèmes informatiques, vous devez appliquer cette nouvelle réglementation.
On a l’impression que la loi définit les grands principes mais laisse les entreprises dans le flou quant à la manière de s’y conformer. Comment va t-elle s’appliquer dans les faits ?
C’est tout à fait normal ! En réalité, c’est exactement le rôle de la loi. Prenons un exemple : le texte impose la mise en place de mesures de sécurité adéquates quand vous traitez des données personnelles. Mais la loi ne dira jamais quelles mesures il faut mettre en oeuvre (antivirus, IDS…), car ce n’est pas son rôle.
Il y a donc un travail d’adaptation au cas d’espèce qui est normalement l’apanage des juristes d’entreprises, souvent avec l’assistance d’ingénieurs. Leur travail est de décliner la loi à leur cas particulier.
« Le RGPD donne le pouvoir de déclencher une procédure à beaucoup d’acteurs qui y auront intérêt. »
Concrètement, quel sera l’impact réel de cette loi sur les TPE-PME ? Est ce qu’elle ne va pas surtout servir de base juridique pour attaquer les grands groupes et notamment les GAFA ?
Mon opinion personnelle est que les GAFA seront les derniers inquiétés par ce texte. En fait, ce sont surtout les entreprises françaises qui vont massivement faire les frais des procès.
Contrairement à ce que l’on peut en penser, les GAFA ont la culture nécessaire pour digérer un aussi gros exercice de conformité. Il faut savoir que les Etats-Unis comptent plus d’un 1.3 millions d’avocats en exercice – contre environs 50.000 en france – et contrairement à l’Europe, les amendes à plusieurs centaines de millions de dollars y sont relativement fréquentes.
Donc pour les GAFA, le GRPD est un problème assez classique à gérer.
En revanche, en Europe la culture est très différente – et plus encore en France. On est habitué à subir des pluies de normes qu’au final personne ne respecte – du moins tant qu’il n’y a pas de vraies sanctions.
A ce titre, beaucoup d’organisations prennent du retard en attendant de voir comment les peines vont s’appliquer. C’est une grosse erreur de calcul qui tient à une méconnaissance du texte : le GRPD donne le pouvoir à beaucoup d’acteurs de déclencher des procédures (salariés licenciés, partenaires sociaux, associations de consommateurs, associations de défense de la vie privée…).
De nombreuses personnes y auront intérêt. A ce titre, il est important de commencer dès maintenant à mettre en place des actions de conformité.
Pour les TPE et les PME, la meilleure solution est de n’utiliser que des solutions qui sont « GDPR compliant », c’est à dire qui se sont préparées à se mettre en conformité avec la nouvelle loi. Cela vaut particulièrement pour les plateformes et solutions d’emailing !
Les entreprises auront à charge d’apporter une preuve du consentement de leurs clients. Comment matérialiser ces preuves ? Dans le cadre de la récolte d’adresses emails par exemple, suffira t-il de montrer les logs d’un formulaire opt-in ?
Pour vous répondre simplement, il faut comprendre que la preuve, en droit, ne résulte pas d’un élément mais généralement d’un ensemble d’éléments concordants.
Vous pourriez par exemple faire un constat d’huissier attestant que lorsqu’une personne entre son email dans votre système, elle est bien informée de ses droits. Soit. Mais qu’est-ce que cela prouve vraiment si la personne a entré son email dans votre système une journée après le constat d’huissier ? Est-ce que cela démontre que le mécanisme technique qui s’assure du consentement était en place à cette date ?
Il est utile de prendre des précautions probatoires (pourquoi pas un constat d’huissier, logs, process, etc.), mais la preuve peut toujours être discutée devant un juge dont le rôle est de déterminer, au regard des faits présentés et discutés, la solution d’un litige.
Les éditeurs de logiciels peuvent jouer un rôle important, comme par exemple en donnant la possibilité d’activer/désactiver des mentions légales tout en conservant une traçabilité. Cela pourrait aider à montrer qu’un système était activé à telle date. Ce serait un élément de preuve utilisable dans le cas d’espèce.
« N’utiliser que des solutions conformes au RGPD est un bon premier pas »
Pour les personnes ayant déjà une liste de contacts opt-in mais n’ayant pas la preuve du consentement, est-il envisageable d’envoyer une campagne email les invitant à renouveler leur consentement ? Comment faire en sorte d’avoir une preuve incontestable ?
Cela me semble un peu compliqué.
Le règlement (article 6 et 7) impose que le responsable du traitement soit « en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant » (art 7). Il faut donc accumuler des éléments de preuve permettant de démontrer que la personne s’est bien inscrite d’elle-même à la newsletter.
Donc à moi de vous retourner la question : quels sont les éléments matériels à votre disposition qui existent pour le démontrer ? Il faut partir de là – mais ne cherchez pas à avoir une preuve incontestable, cela n’existe pas. Il faut recueillir des éléments de preuve qui concordent, ce sera déjà une bonne action menée.
Que conseilleriez-vous au e-commerçant moyen qui n’a pas les ressources pour se faire aider sur sa mise en conformité ?
De solliciter ses éditeurs de logiciel pour savoir s’ils ont prévu une mise en conformité avec le RGPD. Car eux seuls seront vraiment à même de digérer les frais. Ensuite de n’utiliser que des solutions GDPR compliant (comme Brevo, N.D.L.R. 😉), ce sera déjà un bon premier pas.
En tant que consultant sur le sujet, êtes vous confiant sur l’intégration de ces problématiques par les entreprises et leur volonté de se mettre en conformité ?
Je suis très confiant quant au fait qu’au jour de l’application du texte on verra une masse de conflits apparaître car énormément d’acteurs y auront un intérêt pratique.
Pour autant toutes les entreprises n’ont pas encore compris l’ampleur du sujet à l’heure actuelle.
Besoin d’une solution d’emailing qui vous offre toutes les garanties de conformité avec le RGPD ? Essayez Brevo, c’est gratuit jusqu’à 9 000 emails / mois !
