Deux ans et demi après l’entrée en application du Règlement Général sur la Protection des Données Personnelles (RGPD), les entreprises comme les avocats ont inventé de nouvelles façons de travailler. Maître Oriana Labruyère, est l’exemple d’une avocate nouvelle génération, pragmatique et en lien constant avec la DSI et le Comex des entreprises pour réduire les risques associés aux technologies et à la gestion des données. Membre de la Cyber Task Force, qui travaille sur la confiance dans le cyberespace, Maître Labruyère nous dresse un panorama.

 

Quelle est votre approche du RGPD dans les entreprises ?

Ma vision n’est pas juridique, mais pragmatique : on ne peut pas déployer des procédures, des chartes et des rapports en tant que TPE dans le B to B. Je caricature évidemment, mais il faut garder à l’esprit que ce texte est gouverné par un principe de proportionnalité. Faire de la documentation simplement pour qu’elle existe n’est pas pertinent. Bien que la « mise en conformité » soit souvent la raison des demandes clients nous obtenons bien d’autres effets bénéfiques lors de la mise en conformité : amélioration des processus internes, fiabilisation et sécurisation de la base clients (même en B to B), renforcement du droit des personnes…

S’informer et se former sont, à mes yeux, essentiels pour gagner en compréhension de l’écosystème. J’aime découvrir les solutions nouvelles et aller à la rencontre des experts notamment en cybersécurité, en participant au FIC, à la Paris Cyber Week par exemple. L’obligation de sécurité est aussi un motif pour les dirigeants dans la décision de mise en conformité. Beaucoup de dirigeants finissent par se résoudre à se conformer au RGPD lors de demandes répétées de leur DSI ou des demandes de leurs clients notamment dans les appels d’offre. Travailler sur l’ensemble des aspects permet donc de gagner du temps et de l’argent.

 

Comment transformer la contrainte réglementaire en opportunité ?

Le RGPD doit être analysé comme un vecteur de transparence et d’optimisation de la gestion des données. En effet, les évolutions nécessaires à la mise en conformité de l’entreprise permettent d’améliorer la gouvernance et de rationnaliser l’utilisation et le stockage des données, personnelles ou non. L’entreprise va alors gagner en transparence ce qui favorisera la confiance que lui accorde ses clients et collaborateurs.

Pour faciliter les évolutions des pratiques de l’entreprise, celle-ci a tout intérêt à avoir un point de contact privilégié vers qui se tourner pour traiter des questions liées au RGPD. C’est pour cette raison que nous proposons un accompagnement ponctuel de conseil en protection des données, pour des questions ponctuelles ; et aussi un accompagnement quotidien en tant que délégué à la protection des données externalisé. Pour privilégier les échanges avec nos clients, quel que soit le mode opératoire choisi, nous avons mis en place des forfaits portant sur un nombre de jours à consommer sur l’année. Cela permet de répondre à la demande de visibilité financière des entreprises et à leur besoin de proximité avec leur conseil.

 

Quels sont les enjeux des entreprises par rapport au télétravail et au droit du numérique ?  

Avec mon équipe nous avons rédigé un « livre blanc du télétravail » pour couvrir cette problématique : comment permettre à l’entreprise d’assurer la continuité de l’activité tout en préservant les collaborateurs et les données qu’ils manipulent ? Nous avons voulu sensibiliser les chefs d’entreprise sur ces sujets avec précision.

L’outil essentiel reste la charte informatique, mais pas en tant qu’outil juridique. Son élaboration sert avant tout à se poser les bonnes questions en amont et à déterminer l’origine des risques : les mots de passe sont-ils sécurisés ? A quoi le collaborateur peut-il avoir accès? La confidentialité des informations qui circulent est-elle assurée ? De nombreux cyber-risques sont liés à l’utilisation du système informatique ou d’internet à l’intérieur ou à l’extérieur de l’entreprise. C’est pourquoi je parle « d’hygiène » de la gestion du risque : faire à minima ce qu’il faut pour assurer la sécurité des données. Sur ces questions on observe souvent un grand écart, source de risques, entre ce dont est persuadée la direction et la réalité terrain. Notre métier consiste à identifier et accompagner l’entreprise dans la correction des vulnérabilités qui découlent de cet écart.  

 

Comment voyez-vous la place de l’avocat dans ce nouveau contexte de la numérisation de l’entreprise ? 

J’aime être sur le terrain, au contact direct des clients et de leurs équipes. Dans notre cabinet nous développons avec nos clients, de la startup aux grands groupes, un relationnel simple et direct. Je ne reste pas derrière mon bureau, je rencontre les équipes opérationnelles pour apporter une réponse pratique et pas seulement juridique. A mon sens, il est capital dans le cadre d’une bonne gestion des risques tel que le risque cyber, de ne pas opposer la DSI aux autres directions (notamment direction juridique, marketing et financière) mais d’engager un dialogue entre toutes les directions afin de favoriser la collaboration. J’ai finalisé un certificat DPO à Sciences Po Paris pour ces mêmes raisons : augmenter ma compréhension transverse des enjeux pour dialoguer avec l’ensemble des interlocuteurs impactés.