Ce vendredi 25 mai 2018, le Règlement Général sur la Protection des Données est entré en vigueur. Vous ne pouvez pas être passé à côté de l’info car, comme tout le monde, vous avez dû recevoir des dizaines de mails de différents services vous informant que leur politique de confidentialité a été mise à jour.

Chez So-Buzz, nous nous sommes faits accompagner par le Groupe Lexagone, expert en la matière, pour se mettre en conformité et nous vous proposons dans cet article une interview pour en savoir plus sur ce casse-tête juridique suivie d’un Quiz pour tester vos connaissance sur le RGPD 🙂

Tout d’abord, pouvez-vous vous présenter ?

Je m’appelle Chloé Debaine.
J’ai suivi un Master 2 de droit et je suis aujourd’hui juriste au sein du Groupe Lexagone depuis 6 mois maintenant.

Le Groupe Lexagone, spécialisé en protection des données personnelles, est issu de la fusion de deux cabinets : CLC-Datas, fondé par Thierry Gaufryau et Lexagone, fondé par Nicolas Samarcq.
Depuis cette fusion, Thierry et Nicolas travaillent ensemble en aidant de nombreuses structures dans leur mise en conformité.

Nicolas Samarcq, juriste de formation, a fondé Lexagone en 2005. Il est également administrateur et trésorier à l’AFCDP (l’association des DPO de France).

 

On entend parler du RGPD depuis un moment mais c’est quoi concrètement et qu’est-ce que ça change ?

Le RGPD est le Règlement Général sur la Protection des Données. Il s’agit d’un texte européen adopté le 27 avril 2016, qui vient imposer des règles particulières de protection des données personnelles dans toute l’Union Européenne (UE).

Dès son entrée en application le 25 mai 2018, toutes les structures européennes, mais également les structures n’étant pas placées dans un pays de l’UE, mais ayant seulement une activité au sein d’un pays de l’UE devront respecter l’intégralité des obligations du RGPD.

Ce texte vient donc vraiment définir un cadre de protection global dans toute l’Union Européenne. On prend beaucoup plus au sérieux la protection des données, notamment au vu des sanctions pouvant être prononcées.

Pour donner un exemple concret, je pourrais citer le droit des personnes concernées qui est véritablement renforcé. Les structures vont devoir réellement informer les personnes du sort réservé à leurs données, des droits auxquels ils ont accès, etc…
De nouveaux droits sont accordés également, comme par exemple le droit à la portabilité.
Les structures vont donc devoir tout mettre en œuvre en interne pour permettre le respect de cette transparence et des différents droits.

Au final, il ne faut pas voir le RGPD comme une contrainte, mais plutôt comme un levier pouvant être un véritable outil marketing et de confiance. Les gens se sentent de plus en plus concernés par la protection de leurs données et n’hésiteront pas à boycotter des structures qui ne respecteraient pas le RGPD.

 

J’ai l’impression que chacun fait sa propre interprétation du règlement et que ça reste globalement assez flou. Par exemple, certains pensent qu’il faut chiffrer toutes les données stockées en base de données alors que ce n’est pas forcément nécessaire. Quelle réponse apportez-vous à ces propos ?

Le chiffrement est en effet un très bon exemple pour illustrer ces propos.

Il faut tout de même savoir que le RGPD reste un texte très complexe, que même les plus grands experts ont parfois du mal à déchiffrer.
Je pense que si le RGPD a été conçu aussi largement, c’est justement pour pouvoir s’adapter à la plupart des cas qui pourront être rencontrés dans l’avenir.

 

Ce RGPD fait peur en France alors que certains pays comme l’Allemagne sont prêts depuis déjà bien longtemps. Il n’y avait pas de règlementation européenne jusqu’à maintenant ?

La France était pionnière en la matière, étant l’un des premiers pays à s’être doté d’outils juridiques performants. Le premier texte français en la matière date de 1978 (loi informatique et libertés), figure d’exemple et d’inspiration en Europe et qui a fondé les principes majeurs de la protection des données personnelles.

Au niveau européen, ce n’est qu’en 1995 que les premières obligations sont nées, avec la Directive N°95/46/CE du 24 octobre 1995.

Or, en France par exemple, l’évolution dans le temps n’a pas suivi cet élan, contrairement à l’Allemagne notamment. En effet, l’Allemagne était, bien avant l’adoption du RGPD, en adéquation avec les différentes obligations imposées par le texte.

C’est d’ailleurs pour cette raison, pour ce « morcellement » entre les textes relatifs à la protection des données personnelles des différents États-membres de l’Union européenne, que le RGPD est né. Il y a eu une réelle volonté européenne de renforcer la coopération entre les États-membres, les institutions et les acteurs en charge de la protection des données.

 

Quel est son rôle exactement d’un Délégué à la protection des données (DPO) et faut-il être plutôt juriste ou plutôt technique pour être un bon DPO ?

Il n’y a pas de recette magique pour être un « bon » DPO. Un DPO est censé avoir des connaissances juridiques d’une part, mais également techniques vis-à-vis de la sécurité des systèmes d’information.

Or, il n’y a que très peu de personnes aujourd’hui en France, pouvant prétendre avoir des compétences dans ces deux domaines. La grande majorité des DPO actuels sont plutôt de formation juridique, et qui vont tenter d’acquérir des compétences au niveau technique, en pratique.

 

Maintenant nous allons tester vos connaissances au travers d’un Quiz pour savoir si vous êtes incollable sur le RGPD :