Règlement Européen: Éthique et RGPD

L’éthique est une notion qui s’impose depuis plusieurs années de façon protéiforme au sein des organismes. Ethique au travail, développement durable, … le secteur de la protection des données a su devenir l’objet, au fil du temps, d’un accroissement de ces considérations : le RGPD en est d’ailleurs une démonstration suffisamment convaincante pour que les acteurs concernés y prêtent attention.  

La seule application du RGPD suffira-t-elle à disposer d’une base éthique suffisante en matière de traitement des données, et potentiellement permettre à un organisme de communiquer en la matière ? Sans aucun doute puisque l’un des piliers de cette réglementation est l’accroissement de la transparence sur la gestion des données personnelles. Cette transparence incitera naturellement les acteurs à rehausser les standards de protection des données, notamment lors de rédactions de « Privacy policies » à destination des utilisateurs. L’éthique est donc dans un premier temps réglementaire : l’utilisateur final se verra communiquer toutes les informations nécessaires pour atteindre l’objectif souhaité par la CNIL dans l’affirmation d’un principe jusqu’alors inexistant suite à la dernière actualisation de la loi Informatique et Libertés : le principe d’auto-détermination des données par les individus eux-mêmes.

L’éthique repose principalement sur un acteur principal de la conformité au RGPD : le délégué à la protection des données (DPO). Si ce dernier apparait comme le chef d’orchestre puisqu’au centre du data mapping et des flux de données mis en place par un organisme, la réglementation européenne a souhaité davantage baliser la prise de fonction de ce dernier. Du fait de son statut particulier, un DPO doit en effet justifier de compétences professionnelles permettant sa prise de fonction. A ce titre, la maîtrise du secteur juridique semble devenir un impératif en sus des connaissances spécifiques au secteur d’activité de l’organisme. Enfin, si l’éthique du DPO consistera en partie dans la recherche de compétences professionnelles propres à exercer ses missions, elle est également encadrée par l’accroissement du regard des autorités de contrôle sur les éventuels conflits d’intérêts. Ne pas être juge et partie, tel pourrait être l’adage de futurs délégués occupant actuellement des fonctions dans un organisme pouvant contrecarrer leur désignation auprès de la CNIL. Par exemple, un DSI ou un membre du CODIR pourra difficilement arguer d’une indépendance réelle dans l’élaboration d’une étude d’impacts sur la vie privée des personnes.

Enfin, l’éthique relative au RGPD consistera, pour les organismes, au bon choix de ses sous-traitants. Avec une volonté clairement affichée d’un fort accroissement de la responsabilité des acteurs, il ne suffira pas d’établir un lien contractuel relatif à la protection des données entre le responsable de traitements et ses sous-traitants. En effet, ces derniers devront prouver leur engagement afin d’apporter des garanties concrètes en matière de gouvernance : la tenue d’un registre ainsi que la possibilité d’être audité pour vérifier la sécurité mise en place en sont deux exemples illustratifs. En outre, la dernière sanction en date émanant de la CNIL prouve que le seul manque de vigilance sur un prestataire gestionnaire de traitements est suffisant pour caractériser une sanction au sens de la loi. L’éthique consiste donc, lorsqu’un organisme est caractérisé comme sous-traitant pour des traitements identifiés, de renforcer la transparence de leurs process et de permettre une coopération utile au respect des dispositions réglementaires.

Enfin, l’éthique en matière de RGPD empêche la mise en place de toute solution « clef-en-main », ou proposant de façon générale une rapidité et une mise en place automatique de process permettant une mise en conformité absolue. Il est donc recommandé de faire preuve d’une vigilance particulière en cas, notamment, de prospection basée sur une conformité immédiate. En effet, le RGPD nécessite le respect d’un plan d’actions priorisé et adapté aux spécificités de votre organisme. Si la mise en production de cette nouvelle réglementation constitue certes un enjeu économique pour de nombreux organismes, il est indispensable de procéder à une analyse des besoins permettant d’identifier les outils nécessaires tant au respect des dispositions réglementaires qu’à la mise en place d’une éthique en matière de protection des données tant à destination de vos collaborateurs que de vos clients.

Bertrand PLAU
Juriste Consultant RGPD


accueil Blog Actu-CIL