RGPD : interview de Maître RIVAIN, avocat et DPO

• Entreprise
• Justice & réglementation

Benoit Rivain est avocat pénaliste et DPO (délégué à la protection des données). Décryptons avec lui le sujet du RGPD et ses contraintes.

2 août 20245 août 2024 François NORMAND

Benoit Rivain est avocat pénaliste et DPO (délégué à la protection des données). Décryptons avec lui le sujet du RGPD et ses contraintes.

Bonjour Maître, merci de nous recevoir.

Pouvez-vous vous présenter ? Quel est votre parcours et vos aspirations ?

Benoît Rivain, j’ai 43 ans, je suis avocat depuis 15 ans maintenant. J’ai commencé en tant qu’avocat par une formation de droit pénal. Assez rapidement, j’ai enseigné dans des écoles d’informatique parce que c’était une opportunité qui s’est présentée. Puis, j’ai développé une appétence pour le droit informatique.

À partir de 2012, j’ai enseigné le droit des données à caractère personnel, qui n’était pas encore le RGPD. En 2017, j’ai effectué une formation pour être certifié DPO.

Aujourd’hui, je suis avocat à la fois en pénal et en IT. Je suis également DPO auprès de collectivités et d’entreprises.

Quelle est la définition simple du RGPD ?

Le RGPD, est un dispositif qui vise à protéger la vie privée des personnes physiques.

Quelle est l’utilité du RGPD pour les particuliers ?

Pour les particuliers, le RGPD leur permet de protéger leur vie privée, de se prémunir contre du ciblage et des infractions qui sont liées à l’utilisation de leurs données à caractère personnel.

Aujourd’hui, on peut contracter en ligne des crédits pour des personnes, on peut usurper l’identité d’individus. L’idée du RGPD, est de pouvoir protéger au maximum la vie privée des individus.

Quelles données personnelles sont concernées par le RGPD ?

Les données personnelles concernées par le RGPD sont par exemple :

• Une photo qui figure sur une bande d’un enregistrement de vidéosurveillance,
• Une empreinte bancaire,
• Un numéro d’IP,
• etc

C’est extrêmement vaste.

La définition légale, est : « toute donnée qui identifie directement ou indirectement une personne physique ».

Quels sont les points essentiels du RGPD que doit mettre en place un dirigeant dans son entreprise ?

Il y a deux types de dispositions qu’il faut prendre :

1. Les dispositions techniques : C’est-à-dire qu’il faut sécuriser, protéger les données. Il faut à la fois garantir la conservation des données et à la fois garantir l’effacement de celles-ci lorsqu’on n’en a plus besoin.
2. Les dispositions juridiques : C’est de garantir que ces données ont été collectées légalement, licitement, loyalement. S’assurer que l’ensemble des sous-traitants ont aussi leur propre conformité au RGPD pour que la chaîne contractuelle puisse se mettre en œuvre en cas de difficulté, et en cas de responsabilité.

Quels sont les critères du RGPD qui obligent à disposer d’un DPO ?

Ce sont des critères qui sont assez larges.

Par exemple, si le cœur de métier de l’entreprise ou de l’organisation est de traiter des données à caractère personnel, des données dites sensibles comme des données d’infraction, c’est du traitement de données. Il va falloir désigner un DPO.

En cas de mise en demeure de la CNIL ou d’un usager s’agissant de ses droits, comment doit-on réagir ?

La première des choses, c’est de ne pas rester indifférent.

Dès lors que vous recevez une mise en demeure, que ce soit de la CNIL ou de la part d’un particulier, vous devez impérativement répondre.

• Pour répondre à un particulier : il convient de vérifier l’identité de celui-ci, simplement parce que le premier écueil c’est qu’une personne cherche à obtenir des informations d’une autre personne.

• Pour répondre à la CNIL : Lorsqu’on observe les sanctions émises par la CNIL, la plupart de celles-ci sont émises à l’encontre de sociétés qui n’ont pas souhaité collaborer avec la CNIL. Ces entreprises n’ont pas souhaité répondre aux demandes ni aux mises en demeure.

En résumé : il faut coopérer.

Pour une entreprise qui souhaite se mettre en conformité, par où doit-elle commencer ?

Pour une entreprise qui doit se mettre en conformité, il faut commencer par un audit. Il s’agit d’abord de cartographier les données qui sont traitées par l’entreprise et ses salariés. Il y a certainement des processus qui ont été mis en place en interne et on ne sait pas vraiment toutes les données à caractère personnel que l’on traite.

Une fois qu’on a cartographié ces données, il faut essayer de regarder leur aspect juridique et technique pour se mettre en adéquation avec le RGPD et par conséquent se mettre en conformité.

Cela commence aussi par un respect du consentement des utilisateurs du site internet de l’entreprise au travers de la mise en place d’un bandeau cookie conforme au RGPD.

Qu’est-ce que le RGPD interdit ?

Il y a différentes catégories de données.

Les données à caractère personnel dites “sensibles”

Ce sont des données qui permettent d’identifier un individu. Dans cette grande appellation de données à caractère personnel, il existe des données dites sensibles. Ce sont des données qui sont particulièrement intrusives telles que les données de santé, les données liées à l’orientation sexuelle, les données liées à l’appartenance syndicale ou encore les données politiques. Ces données vont pouvoir être collectées, mais avec des restrictions supplémentaires. Il est indispensable de recueillir le consentement express de la personne pour les collecter.

Les données interdites

Ce sont des données qui ne peuvent pas être traitées sans que la loi l’autorise.

Quelle analyse avez-vous de la sanction de l’autorité de contrôle Lituanienne vis-à-vis du site E-commerce Vinted ?

Quant on examine la sanction de Vinted, on constate qu’elle porte sur trois sujets :

1. Le premier, c’est un manque de transparence dans le traitement des réclamations des usagers qui souhaitaient effacer leurs données ,
2. Le deuxième, c’est aussi un manque de transparence des personnes qui étaient bannies par Vinted ,
3. ELe troisième, c’est une absence d’information sur les demandes des usagers de Vinted.

Donc en réalité, cette sanction de la CNIL montre que Vinted a manqué à son obligation de transparence et d’information.

On ne dit pas que Vinted a violé le RGPD en matière de traitement de données, mais simplement que sa collaboration, à la fois avec les personnes physiques et les autorités, n’a pas été à la hauteur.

Les consommateurs français peuvent-ils continuer d’utiliser Vinted sans crainte ?

Je n’ai pas observé de transferts de données illicites et des infractions graves au RGPD dans cette décision. À mon sens, on peut quand même encore aller sur Vinted avec beaucoup de sérénité.

Quelles démarches doit effectuer une entreprise dont une des bases de données est compromise ?

Une entreprise a fait l’objet d’une attaque, en tout cas elle fait face à une faille de sécurité. Ses données ont été copiées et utilisées éventuellement par une autre entreprise ou en tout cas une autre entité.

1. La première des choses, si c’est une infraction pénale, est de porter plainte,
2. La deuxième chose, il faut notifier à la CNIL qu’on a constaté cette faille de sécurité,
3. Et, la troisième, il va falloir avertir individuellement l’ensemble des personnes qui sont concernées par cette atteinte à leurs données.

Quand vous dites « avertir individuellement », est-ce qu’un mail suffit ?

Effectivement, un simple mail suffit. Souvent, ces mails sont écrits en collaboration avec le DPO, le service communication, et la direction de l’entreprise.

Il va falloir alerter les individus sur le fait qu’ils pourront faire l’objet de tentatives d’hameçonnages, d’appels malveillants, d’usurpation d’identité, afin de les alerter sur les dangers qui peuvent résulter de cette faille de sécurité. C’est l’objet du message qui va leur être adressé.

Certaines entreprises privées et publiques hébergent de la donnée française sur des serveurs d’hébergeurs situés aux US ou ailleurs dans le monde, alors même qu’en Europe et en France, nous disposons d’hébergeurs comme OVH ou Clever Cloud, pour citer que des français.

Pensez-vous qu’il faudrait légiférer afin d’imposer le choix d’un hébergeur français ou européen aux entreprises françaises ?

Le fait d’héberger des données sur un serveur situé hors de l’Europe, ça oblige l’entreprise à notifier une information supplémentaire aux personnes concernées, à savoir que leurs données sortent du territoire Européen.

En outre, lorsqu’il s’agit d’un serveur hébergé aux États-Unis, les données sont soumises à des législations américaines appelée Patriot Act et Cloud Act. Cette législation impose à toute entreprise de donner accès à l’ensemble de ses données au gouvernement fédéral américain.

Lorsqu’on a la volonté de protéger au maximum les données de nos ressortissants, ma vision serait quand même d’inciter mes clients à héberger ces données sur des solutions européennes.

A noter que toute entreprise américaine, quand bien même ses serveurs sont hébergés sur le sol européen, sera soumise au Cloud Act. Plus précisément, le Cloud Act et le Patriot Act sont des législations qui concernent toute entreprise américaine, quel que soit l’endroit où sont établis ses serveurs.

AWS ou Google Cloud respectent-ils le RGPD ?

Il y a des accords qui sont faits entre l’Europe et les États-Unis qui permettent d’assurer la conformité au RGPD.

Max Schrems, un avocat assez connu, a fait sauter un certain nombre d’accords entre l’Europe et les États-Unis concernant cette garantie de protection des données des hébergeurs américains.

N’est-ce pas un peu contre-productif quand on a des organisations gouvernementales françaises qui hébergent de la data chez Amazon ?

Le Health Data Hub, c’est-à-dire l’ensemble des données de santé des français, sont hébergées chez Microsoft et donc soumis au Cloud Act et le Patriot Act.

L’État français ne fait pas lui-même ce qu’il impose.