La multiplication des règlementations relatives à la protection des données représente un véritable défi pour les groupes internationaux. Face à cette complexification législative, la Data Privacy Head d'un grand groupe et le Secrétaire général de la CNIL apportent leurs éclairages et prodiguent de précieux conseils.
Quatre ans après son entrée en vigueur, force est de constater que le Règlement européen sur la protection des données (RGPD) a essaimé à l'international. Le Brésil, la Chine ou encore les Emirats Arabes Unis s'en sont ainsi inspirés pour élaborer leur législation nationale.
Pour autant, en l'absence de standards internationaux, la mise en œuvre du RGPD dans les multinationales peut représenter un véritable défis.
Lors de la 10ème édition des Débats du Cercle, qui s'est déroulée le 1er juin 2022 au Grand Hôtel Intercontinental Opéra à Paris, Marine Giovannangeli, Data Privacy Head - Monde du Groupe Servier, et Louis Dutheillet de Lamothe, Secrétaire général de la CNIL, ont pu partager leurs expériences et points de vue dans un débat animé par Damien Catoir, membre du Cercle Montesquieu, Group General Counsel Atos.
Marine Giovannangeli a effectivement pu constater au sein du groupe Servier qu'appliquer le RGPD en tant que standard d'entreprise est loin d'être évident en présence de règlementations locales différentes. Cela peut représenter un frein à des projets de transformation digitale, notamment en cas de consentement préalable requis à l'utilisation des données.
Se protéger contre les conflits de lois
Comment les entreprises peuvent-elles faire face à ces conflits potentiels de règlementations ?
Louis Dutheillet de Lamothe expose cette double contrainte : non seulement un groupe international implique l'application de plusieurs règlementations locales de protection des données, mais le RGPD, conçu comme loi extraterritoriale, doit s'appliquer aux données personnelles des Européens même si les fichiers concernés se trouvent en pays tiers.
Le Secrétaire général assure néanmoins que la Commission des sanctions de la CNIL agit avec pragmatisme et ne sanctionnera pas des manquements ayant pour origine un conflit de lois. Il ajoute que le RGPD étant en général mieux-disant que les autres législations, l'application de ce règlement permet dans 80 % des cas aux groupes internationaux d'être en conformité. Il rappelle en tout état de cause que les entreprises peuvent solliciter la CNIL pour des clarifications en cas de doute.
Pallier l'insécurité juridique
S'agissant des transferts de données entre l'Union européenne et les Etats-Unis, l'insécurité juridique est réelle depuis l'invalidation du Privacy shield par la Cour de justice de l'Union européenne (CJUE).
Louis Dutheillet de Lamothe indique trois solutions :
- vérifier que les lois américaines ayant été jugées invalides par la CJUE sont bien applicables à l'entreprise concernée ;
- opter pour le chiffrement ;
- utiliser les accords de "cloud de confiance" qui permettent de stocker les logiciels américains sur des serveurs européens.
Il conseille de cartographier les transferts pour identifier les données pour lesquelles il doit y avoir une protection, en particulier pour les administrations.
Le Secrétaire général de la CNIL répond également aux interrogations nées des mises en demeures liées à l'utilisation de Google Analytics en rappelant l'existence d'une exemption de consentement si le responsable de traitement s’assure qu’il n’y a pas de transfert illégaux. Il précise par ailleurs qu'il existe des alternatives européennes à Google Analytics qui permettent de transférer moins de données.
L'accord entre la Commission européenne et les Etats-Unis annoncé le 25 mars dernier apportera-t-il les clarifications et la sécurité juridique escomptées ? Les acteurs concernés sont pour l'heure dans l'expectative...
Pascale Breton