GDPR : déclencher l'union entre les avocats spécialisés dans la protection des données et les logiciels de protection des données

L'avenir du conseil juridique subit son premier test important avec l'arrivée du nouveau règlement sur la protection des données à caractère personnel.
L'arrivée de ce règlement complexe a conduit à l'émergence d'une série de logiciels ou d'outils informatiques qui, d'une part, facilitent le traitement correct des obligations établies par la nouvelle loi, mais qui, d'autre part, visent également à remplacer le travail juridique réel de conseil en matière de conformité réglementaire.
Quelle sera la portée de ces conseils ? Qui sera responsable en dernier ressort ? Les deux prestataires de services collaboreront-ils ? S'étendront-ils à d'autres domaines du droit ?
Qu'implique le GDPR ?
Le 25 mai 2016, le règlement européen 679/2016 sur la protection des données personnelles est entré en vigueur et il est là pour rester. Il ne s'agira donc pas d'une simple adaptation réglementaire mais d'un profond changement culturel qui ajoutera des tâches récurrentes aux différents obligés, comme jusqu'à présent :
- la comptabilité,
- le dépôt des déclarations fiscales,
- l'enregistrement des livres comptables et des comptes annuels, etc.
Après la panique des mois précédents et surtout des jours qui ont précédé son entrée en vigueur, il est temps de faire de la pédagogie sur les changements fondamentaux et d'accueillir à bras ouverts un changement culturel sans doute absolument nécessaire.
Alors, que pouvons-nous exiger en tant que citoyens et quelles mesures les entreprises et autres acteurs obligés de se conformer au règlement devront-ils prendre ?
Extension des droits des citoyens
Nouveaux droits
Outre les droits ARCO déjà bien connus (accès, limitation, rectification et opposition), le populaire droit à l'oubli et le droit à la portabilité ont été créés. Ce dernier oblige le responsable du traitement à fournir à la personne concernée une copie complète de ses données sous forme électronique et dans un format compatible. Le droit à l'oubli, quant à lui, oblige le responsable du traitement à effacer toutes les données détenues sur une personne donnée.
Le citoyen, propriétaire de ses données
Du point de vue du citoyen, le nouveau règlement nous permet de redevenir réellement propriétaires de nos données. Désormais, les bases de données personnelles n'appartiendront plus à une entreprise particulière, mais aux propriétaires de ces données.
Cela signifie que l'entreprise les utilisera conformément aux critères de légitimation établis par le règlement, principalement sur la base du consentement exprès donné par le propriétaire des données ou son tuteur, et l'entreprise sera donc considérée comme responsable de la garde et de la protection correctes des données, mais jamais comme le propriétaire des données.
Toute la chaîne sera responsable
En revanche, du point de vue de l'entreprise, du professionnel ou de l'institution publique, comme nous l'avons déjà souligné, désormais responsable du traitement, ils ne peuvent plus être considérés comme propriétaires des données personnelles qu'ils traitent, mais comme responsables de leur traitement.
Cela signifie qu'ils devront adopter une attitude proactive et responsable et s'impliquer dans la mise en conformité en adoptant et en s'adaptant à la nouvelle culture de la protection des données personnelles.
En effet, non seulement l'entreprise doit protéger les données, mais elle doit également s'assurer que les tiers impliqués qui, pour diverses raisons, ont accès aux données dont elle a la garde, respectent également les règles et agissent de manière responsable dans le traitement des données .
Plus d'obligations pour les entreprises
Nouveaux registres et responsabilités
L'obligation d'enregistrer les dossiers auprès de l' AEPD a été supprimée, mais le registre des activités de traitement a été créé comme une obligation légale pour les entreprises qui comptent plus de 250 employés ou qui traitent des données sensibles ou des données susceptibles d'engendrer des risques importants pour les personnes concernées.
Dans le même temps, le registre des responsables du traitement des données est également créé pour des raisons de bon sens :
-
le Registre des responsables de traitement,
-
le registre des clients lorsqu'ils agissent en tant que responsables du traitement des données,
-
le registre des demandes des titulaires de droits sur les données à caractère personnel,
-
le registre des transferts de données et le registre des incidents.
D'autre part, elle sera également obligatoire :
-
l' analyse des risques de chacune des opérations de traitement,
-
les évaluations d'impact sur la vie privée (E IVP) lorsque, en raison de leur nature, de leur portée, de leur contexte et de leur finalité, il existe une probabilité raisonnablement élevée de porter atteinte aux droits et libertés des personnes physiques.
Un nouvel acteur entre en jeu
Le délégué à la protection des données (DPD ) est la personne physique, spécialisée en droit et disposant de connaissances pratiques en matière de protection des données, qui assure la médiation entre l'entreprise, les personnes concernées, les tiers impliqués et l' Agence espagnole de protection des données (AEPD), en plus d'évaluer les systèmes de conformité, d'analyser les risques et de coordonner les différentes équipes impliquées dans le processus de mise en conformité et de maintien de cette conformité.
Pour l'instant, seules les administrations publiques, à l'exception des tribunaux, et les entreprises qui effectuent des traitements nécessitant une observation régulière et systématique des personnes concernées à grande échelle et/ou des traitements impliquant des catégories particulières de données à grande échelle, telles que les données relatives à la santé, seront obligées de désigner un DPD. En outre, les États membres de l'UE peuvent également l'exiger dans leur réglementation interne.
Dans un avenir relativement proche, il est clair que l'éventail des entreprises obligées s'élargira à mesure que les processus seront facilités et que les coûts seront réduits, par exemple grâce à des outils logiciels.
En fait, l' AEPD a déclaré à plusieurs reprises que les entreprises qui ne sont pas obligées de le faire devraient désigner volontairement leur DPD, car cela présente d'énormes avantages.
Les sanctions appellent le respect des règles
Au vu de ce qui précède et après avoir compris qui est le responsable du traitement et qui est responsable, il convient de rappeler, sans vouloir effrayer, que les sanctions se situeront entre 2 et 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent. Les sanctions peuvent aller jusqu'à 10 millions d'euros pour les sanctions graves et 20 millions d'euros pour les sanctions très graves.
Ainsi, à titre d'exemple, une PME qui a gagné 800 000 euros en 2017, qu'elle ait ou non réalisé des bénéfices en 2017, devra payer entre 16 000 et 32 000 euros si elle est sanctionnée.
C'est pourquoi il est important de prendre ce changement culturel très au sérieux et de prévenir les pénalités autant que possible plutôt que de prévoir d'en supporter le coût, de provisionner et d'attendre. Une pratique très courante dans le passé qui n'a plus de sens aujourd'hui.
Logiciel RGPD : des outils sans doute nécessaires
Comme nous l'avons vu, la nouvelle réglementation demande beaucoup d'efforts, tout d'abord en préparant des études juridiques denses et ensuite un plan d'action qui précise chacune des mesures à mettre en œuvre pour démontrer à un éventuel contrôle que la réglementation est respectée et/ou que toutes les actions jugées nécessaires pour se conformer à la réglementation sont mises en œuvre de manière proactive.
En tant que conseillers sur le terrain, nous ne pouvons ignorer l'existence de ces logiciels et leurs conseils plus que judicieux sur le plan d'action approprié. Nous ne pouvons pas non plus continuer à proposer l'utilisation de feuilles de calcul Excel pour effectuer les enregistrements susmentionnés. Les logiciels sont arrivés dans notre profession et non seulement nous ne devons pas en avoir peur, mais nous devons les adopter comme un outil supplémentaire pour améliorer et accroître la qualité de notre travail.
La technologie peut-elle remplacer le travail des avocats ?
Certaines entreprises peuvent se débrouiller presque toutes seules, tout en veillant à suivre correctement les "instructions" afin d'éviter d'engager leur responsabilité, mais l'avenir nous dit qu'elles auront toujours besoin de nous .
La preuve en est que certains logiciels GDPR offrent déjà une plateforme parallèle permettant au conseiller, qu'il agisse ou non en tant que DPD interne ou externe, d'examiner et d'approuver à la fois la préparation du plan d'action et sa mise en œuvre. C'est peut-être le meilleur critère pour évaluer la qualité et l'utilité d'un tel logiciel.
En ce qui concerne mon expérience personnelle à cet égard, une question qui se pose dans n'importe quelle matière ou domaine du droit, il est essentiel que la communication avocat-client soit parfaitement enregistrée, ordonnée et qu'il soit possible de générer des documents transcrivant ces conversations (par ex. PDF) en cas de conflit de quelque nature que ce soit. Le courrier électronique est donc en passe de devenir un élément du passé.
Juristes + technologie = traitement sécurisé
Cette combinaison semble parfaite car, bien que les heures de conseil et donc les coûts soient fortement réduits, il sera judicieux pour les entreprises de continuer à transférer le risque du conseil final en la matière aux juristes et donc à leurs compagnies d'assurance.
Quant à savoir si ce phénomène s'étendra à d'autres domaines du droit, l'avenir est imprévisible, mais tout porte à croire qu'il en sera ainsi.
Article traduit de l'espagnol