Je remercie chaleureusement Maître Alexandre Iteanu, avocate spécialisée en protection des données personnelles, pour cette interview enrichissante. Dans cet échange, elle partage son expertise sur les enjeux actuels liés au RGPD, son évolution en tant qu’avocate dans le domaine du numérique, ainsi que les étapes essentielles pour accompagner efficacement les entreprises dans leur mise en conformité et leur protection des données.
1. Qu’est-ce qui vous a motivée à choisir le domaine du numérique et de la protection des données personnelles dans votre pratique d’avocate, et quelles étapes clés de votre parcours ont façonné votre expertise ?
J’étais à l’origine très intéressée par la propriété intellectuelle et le droit d’auteur, car je dessine et peins sur mon temps libre. Assez rapidement, je me suis rendue compte que la propriété intellectuelle et le numérique étaient imbriqués, et que les enjeux liés aux données personnelles affectés toute notre société. C’est lors de mon LLM à l’Université King’s College à Londres que j’ai eu la chance de suivre les cours de professeurs passionnants sur les sujets data, vie privée, droit du numérique et des algorithmes, et de participer à l’organisation de conférences sur ces sujets.
2.Comment le rôle de l’avocat spécialisé dans le numérique a-t-il évolué avec l’introduction du RGPD, et quelles compétences spécifiques sont aujourd’hui cruciales pour conseiller efficacement les clients sur ces enjeux ?
Le RGPD n’a pas révolutionné notre métier, du moins pas dans notre domaine d’expertise, car il existait déjà avant une loi en France qui encadrait la protection des données personnelles, la Loi dite “Informatique et Libertés”, du 6 janvier 1978. Bon nombre des principes de cette loi ont d’ailleurs été repris par le RGPD.
Le RGPD a cependant permis de sensibiliser un plus grand nombre d’organismes et de personnes sur la protection des données personnelles. Il faut dans ce domaine faire preuve d’agilité d’esprit, de curiosité, car il n’y a pas de réponses toutes faites dans le RGPD quand un client vient nous voir. Dans le cadre de contrôles CNIL ou de contentieux, une grande rigueur est également attendue dans les dossiers. Enfin, il est important de suivre régulièrement l’actualité et évolutions réglementaires, car c’est un domaine où il y a beaucoup de “soft law” (droit mou).
Nous recevons par ailleurs de plus en plus de demande pour des formations sur ces sujets RGPD, Open data, etc., car il y a vraiment une prise de conscience de l’importance de ce domaine au-delà du droit. Nous formons ainsi des clients, mais également des services publics comme les membres du Ministère des Armées.
3.Lorsque vous accompagnez une entreprise dans sa mise en conformité avec le RGPD, quelles sont les étapes essentielles que vous conseillez pour une protection optimale des données ?
La première étape, la plus cruciale, est tout d’abord de comprendre ce que l’on a en interne. Ce qui n’est pas toujours évident. On a tendance à penser que les données personnelles ne concernent que les données nominatives du type nom/prénom, alors que cette définition englobe plus largement des adresses IP, des plaques d’immatriculation, ou encore des profils consommateurs sous forme de pseudonymes.
Comprendre ce que l’on traite en interne va permettre ensuite d’appliquer un régime associé, et de documenter cette mise en conformité RGPD, c’est ce qu’on appelle le principe d’Accountability dans le règlement.
Le RGPD ne prévoit pas tout, en pratique, il faudra également, selon les situations, se pencher sur les lois nationales, mais aussi sur les contrats conclus entre les différents acteurs impliqués dans le traitement des données personnelles (responsable de traitement, sous-traitant, co-responsable de traitement…).
Une mise en conformité RGPD ne sera pas la même selon la situation du client, s’il s’agit par exemple d’un centre de santé, ou d’un éditeur d’une solution SaaS, la documentation et les mesures à mettre en place seront différentes.
4. Comment préparez-vous les entreprises à répondre aux exigences des autorités de protection des données, comme la CNIL, et quels conseils leur donnez-vous pour anticiper les contrôles et les audits ?
Nous expliquons aux entreprises qu’il est important de prévoir des process pour respecter les droits RGPD des personnes concernées, et de toujours prendre en compte la protection des données dès le début de leurs activités, ce que l’on appelle le principe de Privacy by design dans le RGPD. Il est également important de toujours documenter ses actions, et de les conserver bien évidemment dans un dossier dédié, qui pourra être transmis à la CNIL en cas de contrôle par exemple.
Nous attachons par ailleurs une importance toute particulière aux obligations d’information imposées par le RGPD et qui pèsent sur les entreprises, ainsi qu’aux obligations de sécurité, qui sont souvent les manquements les plus relevés par la CNIL.
6. Comment envisagez-vous l’avenir du droit en matière de protection des données personnelles, et quel rôle pensez-vous que les avocats joueront dans le façonnement de cet avenir, face aux évolutions technologiques ?
Dans un environnement de plus en plus connecté, et que l’on maitrise en réalité de moins en moins, le droit prendra une place d’autant plus importante, celle de poser des limites, et de protéger les citoyens, face aux pouvoirs des grosses plateformes notamment. Dans le domaine du numérique, le rôle de l’avocat est de rester alerte, et agile, avec des réglementations qui sont souvent en retard face aux innovations. Il faut apprendre à aller au-delà d’un texte réglementaire, à composer et à interpréter pour justement façonner le droit de demain.
Je remercie Maître Alexandra Iteanu pour cette interview
Vincent Gorlier
LW