Le RGPD, enfin !

La Délégation des Barreaux de France (« DBF ») a pris l’initiative d’organiser un colloque sur le Règlement Général sur la Protection des Données (« RGPD ») le 10 mars 2023, à Lyon. Il s’agissait, cinq ans après la promulgation et la mise en œuvre du RGPD, d’examiner son application et d’en fournir toutes les clés de compréhension. Un public nombreux se pressait soit physiquement, soit en visioconférence pour assister à cette indispensable conférence.

Le constat, pratiquement commun à tous les intervenants, a été que le RGPD est mal connu en dépit de sa large diffusion et de son application obligatoire. Il est certainement mal connu par les avocats alors même qu’ils sont en possession d’un nombre important de données personnelles de leurs clients, mais également, de leurs adversaires, voire de tiers. Toutes ces données devraient être protégées et chaque avocat devrait être en mesure de répondre à toutes sollicitations de la part de personnes visant à exiger un droit à l’oubli, un droit à l’effacement ou toute autre mesure prévue par le Règlement.

Le RGPD est intimement lié à notre secret professionnel. Le lien de confiance avec nos clients serait sérieusement renforcé si nos clients pouvaient être certains que nous appliquons strictement et rigoureusement le RGPD pour la défense de leurs données personnelles.

Michel Bénichou
Avocat au Barreau de Grenoble, Ancien Bâtonnier Président d’honneur
du Conseil des Barreaux européens (CCBE)

Il en est de même concernant les ordres. Il a été rappelé par l’un des orateurs que, dans l’Union européenne, un Ordre avait été piraté. L’Ordre détient les données personnelles des avocats inscrits au Barreau mais également de certains de leurs clients (en cas de contestation d’honoraires ou en cas d’utilisation de la CARPA avec leurs données bancaires).

Tout cela devrait être éminemment protégé, toutes mesures devraient être prises pour éviter une divulgation catastrophique ou une cyberattaque.

Il a été rappelé, à juste titre, le guide publié par le Conseil National des Barreaux (« CNB »), les différentes formations organisées par les institutions mais également l’aide possible de la Commission nationale de l’informatique et des libertés (« CNIL »), dont le rôle n’est pas uniquement la répression, mais également l’aide à la mise en place et au suivi de ce RGPD par tout moyen utile.

La CNIL n’a pas seulement une vision répressive mais, essentiellement, une perspective d’aide aux professionnels. La sécurité des données personnelles est un élément fondamental de la sécurité de nos cabinets. Or, en cette période de cybercriminalité, alors que des cabinets d’avocat ont été piratés, que les données de leurs clients ont été éparpillées ou vendues, le renforcement de l’application du RGPD est donc indispensable.

Les défis sont donc multiples et d’abord de rappeler que RGPD et secret professionnel sont liés, qu’il s’agit de la confiance de nos clients et donc de la garantie de notre indépendance, que ces questions de cybersécurité sont essentielles et sans évoquer l’affaire des Panama Papers, qu’un cabinet d’avocats peut disparaître purement et simplement après avoir été ciblé et les données de ses clients pillées.

La profession doit donc se mobiliser, se former, auditer, aider les avocats dans la mise en place ou dans le suivi de l’application du RGPD. Elle doit ensuite contrô-ler cette mise en application. Il s’agit d’une nécessaire crédibilité. Mais encore faut-il que le RGPD soit compréhensible et, qu’à tout niveau, sa complexité ne devienne pas insoutenable. Or, on s’aperçoit que de nombreuses questions ne sont pas réglées par le texte même du Règlement. Les définitions de « consentement », de « sous-traitant », l’exposition des droits des particuliers doivent être précisés. Il n’y aura pas, à l’avenir, de baisse des droits des citoyens par rapport à la protection de leurs données personnelles. Au contraire, on peut penser qu’il y aura une extension de ces droits. Dans certains pays de l’Union européenne, la mise en place du RGPD elle-même est retardée par ces questions. Une nécessaire simplification s’imposerait. Une indispensable clarification semble essentielle.

Le rôle des autorités de contrôle doit encore être précisé de telle sorte qu’il n’y ait pas d’ambiguïté. L’Union européenne développe de nouveaux textes en permanence (et c’est une excellente chose), mais ces textes génèrent une fragmentation et parfois, une multiplication des autorités de contrôle ou d’autorités qui s’affirment comme tel.

Parallèlement, les recours possibles ne sont pas prévus ou mal organisés. La coopération et l’articulation entre les autorités de contrôle constitueraient un minimum pour la clarté des contrôles et des recours ainsi que l’harmonisation des règles de procédure et l’émergence d’un débat contradictoire quant aux éventuels manquements et aux sanctions liées au RGPD.

Le plaignant est-il également pris en compte de façon suffisante ? Y a-t-il une indépendance consacrée des autorités de contrôle ? En matière de contentieux, doit-on considérer que les délais de procédure, les règles applicables pendant la procédure, les sanctions sont-ils clairs et compris ? Enfin, l’accès au juge ne doit-il pas être simplifié en ces matières ? Telles sont les incertitudes que génèrent le texte et son application. Cela est d’autant plus important que de nombreux projets de textes sont envisagés, qui bien qu’ils concernent d’autres domaines de l’Union européenne, impliquent l’application du RGPD.

Ainsi, on peut citer le développement de l’euro numérique qui ne pourra s’imposer que si une sécurité suffisante est garantie, l’utilisation de l’intelligence artificielle avec les projets de textes de l’Union européenne, le développement de la reconnaissance faciale qui a déjà fait l’objet de recommandations de la CNIL et enfin, de l’autonomie des choses (voitures autonomes, etc.) qui ne pourront fonctionner qu’avec un certain nombre de données dont il faudra bien organiser le contrôle.

Enfin, le premier accord entre l’Union européenne et les États-Unis a été recalé par la justice européenne en considérant l’absence de garanties suffisantes fournies par les Américains. Mais le gouvernement américain, depuis, a adapté sa législation. Ainsi, le Président Biden, le 7 octobre 2022, a signé un décret, suivi par des règlements adoptés par le Procureur Général des États-Unis, ces instruments transposant dans le droit américain des garanties comparables à celles de l’Union européenne.

Les entreprises américaines pourront donc adhérer au cadre de protection des données UE – États-Unis en s’engageant à respecter un ensemble détaillé d’obligations en matière de protection de la vie privée. De même, concernant l’accès des pouvoirs publics américains aux données et en particulier, à des fins d’application liées à des procédures pénales ou à la sécurité nationale, il y aura des limitations et des garanties intégrées. Cet accès des services de renseignement américains aux données européennes sera limité à ce qui est nécessaire et proportionné pour protéger la sécurité nationale. Il y aura, un mécanisme de recours indépendant et impartial avec une Cour de contrôle de la protection des données.

La prochaine étape est donc une procédure d’adoption. Il est quasiment certain qu’un accord global interviendra concernant la circulation sécurisée des données de l’Union européenne avec les États-Unis.

D’autres défis s’imposeront et notamment, l’application du RGPD dans le métavers ou l’équilibre entre le RGPD et la loi sur la gouvernance des données de l’Union européenne (« DGA »), proposition législative de la Commission européenne visant à établir un cadre permettant de faciliter le partage des données. Ce DGA, qui vise à soutenir le développement d’une économie européenne axée sur les données, devra être compatible avec la protection desdites données par le RGPD.

Les avocats ne peuvent ignorer les futures étapes et défis concernant le RGPD, ils doivent même s’y impliquer en qualité de professionnels. Ce colloque, organisé par la DBF, a été le bon moment pour s’interroger aux fins de savoir si nous sommes tous en conformité avec le RGPD mais, au-delà si nous sommes capables, dans le cadre de l’ensemble des défis liés au RGPD et notamment, à l’intelligence artificielle, d’y avoir notre part.

Certes, on a parfois l’impression que le Barreau avance lentement. Mais pour citer un proverbe chinois : « Ne crains pas d’avancer lentement, crains seulement de t’arrêter ».

Michel Bénichou

Avocat au Barreau de Grenoble, Ancien Bâtonnier Président d’honneur du Conseil des Barreaux européens (CCBE)

Retrouvez l’article dans L’Observateur de Bruxelles, 2023/2, n° 132, revue d’information juridique européenne des Barreaux français.

Retrouvez les dernières actualités juridiques publiées par Maître Michel Bénichou, Avocat à Grenoble, sur le blog du cabinet AVOCODE.