Le Monde du Droit a interrogé Rosa Barcelo, associée IT, bureau de Bruxelles et de Romain Perray, associé IT, du bureau de Paris, McDermott Will & Emery sur les enjeux IT et réglementaires des entreprises.
Quels sont les enjeux IT et réglementaires qui préoccupent actuellement les entreprises ?
Romain Perray : Indiscutablement, le premier enjeu est celui des transferts internationaux de données. L’arrêt Schrems 2 a en effet totalement bousculé les pratiques d’échanges de données personnelles entre l’Union européenne et les autres régions, tout particulièrement à destination des Etats-Unis et ce, malgré l’annonce récente d’un accord transatlantique. Jusque-là, les outils à disposition étaient relativement faciles à identifier et à appliquer. Il s’agissait pour l’essentiel de conclure des clauses contractuelles types ou de mettre en place des règles internes contraignantes (BCR). Certes, cela pouvait être fastidieux, mais les procédures étaient relativement cadrées. Désormais l’évaluation complexe et exigeante de la compatibilité de la réglementation de l’Etat tiers destinataire avec les principes fondamentaux de l’Union européenne en matière de protection des données personnelles, qui était pour ainsi dire jusqu’à maintenant à la charge de la Commission européenne dans le cadre de l’examen des décisions d’adéquation de la réglementation des Etats tiers, est à la charge des exportateurs de données.
Rosa Barcelo : Un autre enjeu est très clairement la cybersécurité. Les attaques informatiques, notamment par "rançongiciel" ont connu une très forte augmentation en 2021. Le récent rapport d’activité de la CNIL pointe une hausse de près de 80% par rapport à 2020notamment liée à l’extension considérable de la surface d’exposition au risque avec le basculement dans le tout télétravail. Ce phénomène touche toutes les tailles de structures, même si leurs conséquences sont particulièrement néfastes pour les petites et moyennes entreprises, et tous les secteurs d’activité dont certains très sensibles que nous connaissons bien comme la santé, l’automobile ou même le secteur public. Il s’agit donc pour les entreprises et les administrations de repenser leur stratégie en la matière, en alliant à la fois les compétences juridiques mais aussi techniques et informatiques. Cela implique de proscrire le fonctionnement en silos, et d’anticiper plutôt que de réagir, par exemple en mettant en place des mesures pour prévenir les violations de données et réagir de manière appropriée en cas d'incident. Nous recommandons aux entreprises de mettre à l’épreuve ces stratégies en interne au moyen « d’exercices sur table ». En résumé, l’enjeu n’est plus de savoir si votre société ou votre administration va faire l’objet d’une cyberattaque, mais de se demander quand elle aura lieu.
RB : Deux enjeux supplémentaires sont à surveiller.
Le suivi des politiques répressives sur les cookies, avec les initiatives de la CNIL et une tendance à la mise en place de lignes directrices propres, mais aussi celles du Comité européen de la protection des données (EDPB) qui œuvrent à harmoniser leur mise en œuvre. A cet égard, l’appel contre la sanction du TCF d’IAB Europe par l’autorité belge est attendue avec impatience.
L’autre enjeu est l’extension du champ de la directive ePrivacy à de nouveaux services par exemple de messagerie instantanée, de courrier électronique et même de véhicules connectés.
Quelle est la spécificité de la pratique de votre cabinet pour répondre à ces enjeux ?
RP : En termes opérationnels, notre offre se distingue tout particulièrement par notre capacité à fournir des outils permettant de réaliser les fameuses évaluations requises depuis l’arrêt Schrems 2. Nos « Transfert Impact Assessment » (ou « TIA ») sont en effet construits sur une base d’analyse d’impact qui constitue l’un des piliers du RGPD. Nous l’avons toutefois ajusté, de façon à prendre en compte les spécificités des caractéristiques des transferts internationaux de données personnelles tout en permettant à nos clients de les contextualiser.
RB : Mon expérience au sein de la Commission européenne me permet en effet de mettre davantage encore en perspective les projets pan-européens de nos clients, et donc leur stratégie, au regard des exigences du RGPD, mais aussi de l’ePrivacy. L’expertise de mon équipe vient aussi compléter sur d’autres juridictions celle de l’équipe de Romain tout particulièrement en matière de santé numérique.
Comment imaginez-vous les prochaines semaines dans un contexte qui paraît toujours incertain au niveau international avec la guerre en Ukraine ?
RP : Le contexte lié à la situation en Ukraine est source de tensions en matière de sécurité des données, ce qui génère deux types de risques pour les entreprises. Le risque RGPD, d’abord, lié à la surveillance accrue par les autorités russes. Et le risque de cyberattaque, ensuite, dont la presse se fait parfois l’écho à la suite des déclarations de plusieurs cyberactivistes déterminés à mener des actions stratégiques contre des entreprises ciblées, et qui compliquent la tâche de tous les acteurs de la donnée.
RB : Pour faire face à ces risques, nous recommandons à nos clients de systématiser les exercices de cartographie et les mesures de prévention pour garantir la sécurité des données afin d’être toujours prêts à réagir. Ils peuvent ainsi mieux mesurer leur surface d’exposition au risque et prendre des décisions plus éclairées, en choisissant de localiser certains hébergements ou de réduire les interconnexions entre leurs systèmes d’informations ou applications utilisées entre la Russie, l’Europe et ou les Etats-Unis.
Propos recueillis par Arnaud Dumourier (@adumourier)