RGPD : après le 25 mai, quelles actions mener à moyen et long terme

Après les principales mesures de mise en conformité, quelles actions peuvent être engagées à moyen et long terme ? Faut-il attendre la jurisprudence ? Recommandations d’experts et avocats spécialisés.

Les limites du chiffrement

Le chiffrement est recommandé en amont, notamment s’il s’agit de procédures de paiement ou de transactions financières. (cf. protocole Pci-Dss). « En revanche, pour certaines organisations, cela peut être très fastidieux, très long, trop lourd pour des bases historiques de très grande volumétrie et peu renseignées, comme les fichiers de destinataires d’une newsletter. On ne le recommande pas systématiquement. Ce peut être disproportionné dans certains contextes. La CNIL et l’agence nationale ANSSI fournissent des recommandations concrètes sur le sujet », explique Anthony Coquer.

Minimisation, anonymisation et pseudonymisation…

Appliquer le principe de minimisation permet d’exposer moins de données en ne collectant que les données réellement utiles et nécessaires dans le cadre de la finalité déclarée.

Il ne faut pas se focaliser sur les cartographies techniques, mais sur l’identification, le droit à l’identité dans un espace limité, et la qualification. « Est-ce que l’on peut détenir ces données ? Oui, si on ne peut pas faire autrement ».

L’anonymisation, qui est irréversible, constitue une bonne approche au regard de la loi, s’il faut verrouiller une confidentialité forte, alors que la pseudonymisation (qui permet de revenir en arrière) reste discutable, même si elle est règlementairement valide. « Mais là encore, les processus sont fastidieux et coûteux s’ils sont effectués a posteriori », souligne Anthony Cosquer.

Droit à l’information et effacement

Le droit à l’information, qui est aussi le droit au questionnement, doit également rester une préoccupation, « dans une dynamique proactive ».

L’obligation d’effacement ou purge pose la question de la durée de conservation des données, qui dépend de leur nature et d’engagements contractuels ou de conditions générales. Il y a donc incidence sur le traitement. Ce chapitre pose également des questions sur le devoir de mémoire, droit à l’Histoire, mais renvoie également la liberté de la presse, qui a vocation à conserver la mémoire des faits.

A long terme, jurisprudence et réajustements…

Au bilan, la mise en conformité avec le RGPD est une démarche en continu. La jurisprudence apportera des précisions. « Le règlement RGPD, c’est une inflation d’articles, une vingtaine de plus, par rapport à la loi de 1978, soit 99 articles, lesquels sont introduits par 173 ‘considérants’, soit autant d’interprétations possibles. Rien ne sera suffisamment clair. Les contentieux porteront sur certains points », observe l’avocat Alain Bensoussan. Il ajoute : « Il existe au moins 57 possibilités de faire différemment dans les transpositions nationales, d’un pays membre à un autre. L’Allemagne et la France présentent déjà des différences d’interprétations ».

On retiendra, enfin, que « l’enjeu est mondial et frontal. Car c’est en Europe que le principe juridique est le plus important. Ce n’est pas une question de liberté mais de dignité, de respect de la dignité des personnes », conclue l’avocat.

Lire aussi :

– Partie 1 / RGPD : les 8 priorités pour être prêt le 25 mai

– Partie 2 / RGPD : les 6 étapes obligatoires pour la mise en conformité

Lire aussi : RGPD : le manque d’experts menace-t-il son application ?