Le choix de la base juridique
Avec son vocabulaire juridique simple et sans langage technique, le texte du GDPR semble limpide au premier abord. Pour autant, sa mise en application s’avère complexe : il devient obligatoire de gérer les nouveaux droits pour les sites web, les intranets, les e-mailings, rédiger les mentions légales, retenir un format pour la portabilité des données, etc. Autant de domaines pour lesquels les actions de mise en conformité dépendent de la base légale retenue.
Mais laquelle ? Le GDPR propose 6 bases légales différentes, qui sont comme des permis d’exploitation de la donnée. Le permis « standard » nécessite le consentement systématique de l’utilisateur : c’est généralement le cas d’un consommateur individuel en situation commerciale. Mais dans le cas d’ pour un organisme public qui fournit de l’électricité ou de l’eau, cette base sera différente car non seulement il n’y a pas besoin de consentement systématique, mais ce consentement sera en outre obligatoire pour accéder aux services publics. Ces deux cas « extrêmes » sont assez clairs. Pourtant, la plupart du temps, le choix de la base légale pour votre organisation n’est pas si évident, d’autant qu’il dépend du traitement.
Des particularités nationales
Autre subtilité: chaque pays transcrit le GDPR dans sa loi nationale. Le texte final sera donc variable d’un pays à un autre. Deux exemples : concernant l’âge légal du consentement pour les mineurs, ou le traitement des données des employés, la loi nationale peut être plus restrictive ou plus souple que l’européenne.
La compatibilité avec le règlement européen e-privacy
Le règlement e-privacy portera sur la vie privée en ligne. Il imposera aux navigateurs internet de pouvoir retirer facilement les cookies permettant l’exploitation des parcours en ligne. Il s’étendra aux données de communication classique (téléphone, e-mail, etc.) et ciblera les métadonnées qui donnent des indications relatives à la sphère privée. Il aura des implications techniques sur le matériel des utilisateurs et sur les navigateurs. Les entreprises doivent donc anticiper la compatibilité du GDPR et de l’e-privacy !
Les référentiels existants
Une entreprise peut s’adresser à la CNIL ou à des branches professionnelles pour éclaircir un point. Le Groupe G29, organe consultatif européen indépendant, permet d’apporter des précisions sur l’application du GDPR via 9 lignes directrices sur le consentement, le profilage, le Data Protection Officer (DPO), etc. Il émet des recommandations concrètes.
Certaines branches sectorielles émettent en outre des recommandations sur les dispositifs à adopter, ce qui facilite la communication entre organisations d'un même secteur qui se retrouvent alors davantage partenaires que concurrentes ! Cela facilite également la collaboration des fournisseurs et sous-traitants du secteur.
Pour les groupes internationaux, un dispositif spécifique : les Binding Corporate Rules, règles européennes adhérentes au GDPR et relatives à la sécurisation de transferts internationaux des données personnelles. La conformité à ces règles doit être validée par la CNIL. Elle est souvent considérée comme un grand pas vers la conformité au GDPR.
Enfin, les cabinets d’avocats connaissent bien les autres législations ou règlements chapeaux qui peuvent « primer » sur le GDPR (Code du commerce, Code du travail) ou le compléter.
Le projet Rainbow Button : le droit à la portabilité
Orange participe au projet Rainbow Button, qui définit un cadre commun pour le droit à la portabilité décrit dans le GDPR. Ce projet a été initié en 2016 par 8 entreprises leaders (Crédit Coopératif, Enedis, ENGIE, GRDF, Maif, Mgen, Orange, Société Générale) et la Fondation Internet Nouvelle Génération (FING).
Besoin d’un professionnel ?
Pour les 2/3 des sondés d’une étude Bird & Bird de 2017, l’application du GDPR nécessite l’assistance d’un conseil externe. Il faut dire que beaucoup des exigences du GDPR sont nouvelles et disruptives. Ni la jurisprudence, ni les travaux du G29 n’éclairent encore totalement le texte. De plus, le règlement ne donne pas de directives techniques, ni d’échelle de temps pour mettre en place les dispositifs. Une veille juridique et technique est donc impérative.
Pour mieux comprendre la règlementation, votre organisation peut s’entourer de professionnels du conseil ayant l’expérience d’un grand nombre de situations clients dans plusieurs secteurs d’activités. Ces consultants peuvent faire appel à des cabinets d’avocats qui auront autorité sur les questions juridiques.
Au-delà du déchiffrage du règlement, l’accompagnement de professionnels du GDPR apporte une valeur ajoutée à l’entreprise sur plusieurs axes de mise en conformité : pilotage technique, sensibilisation des collaborateurs, et mise en place d’une gouvernance adaptée.