Le branle-bas de combat de l’entrée en application du Règlement général relatif à la protection des données (UE) 2016/679 (RGPD) au 25 mai 2018 paraissait déjà lointain. Près d’un an après les débuts de l’épidémie de Covid-19 en France, il n’aura cependant échappé à personne que les problématiques de protection et de sécurité des données personnelles sont assurément revenues sur le devant de la scène. Multiplication des cyberattaques, développement de nouvelles pratiques de travail à distance, gestion des cas contacts en entreprise… En cette période si singulière, la mise en œuvre des obligations réglementaires et contractuelles du RGPD sollicite particulièrement le département légal en entreprise et au-delà, le secteur Légal… et l’incite à se transformer. Et si l’actualité invitait les entreprises à reconsidérer leur vision du RGPD ? Si, de contrainte, cette réglementation était finalement appréhendée à l’aune des vecteurs de transformation qu’elle offre, pour l’entreprise en général et pour les directions juridiques en particulier ? Et si la recherche de sécurisation juridique, conjuguée à la stratégie business, permettait effectivement de 168 maîtriser les coûts, plus globalement de sécuriser les services ou produits offerts et in fine d’assurer la confiance des utilisateurs ou bénéficiaires finaux ?

Une vision globale indispensable

Afin de sécuriser les risques liés aux obligations réglementaires ou aux relations contractuelles émergeant en mode " run " du RGPD, l’expertise du département juridique est nettement requise. Pour réussir à assurer la protection des données des activités et projets de l’entreprise, elle doit avant tout disposer d’une vue globale et comprendre les usages et implications opérationnels, le cycle de vie des données personnelles qui en découle, et se poser les bonnes questions pour définir les prérequis de protection des données, certes " juridiques " mais pas seulement. À l’écoute de ses clients internes, dans l’appropriation de leur langage et de leurs problématiques métiers, le Légal peut alors se mettre tout à fait au service du business et de la stratégie de l’entreprise. Le périmètre des uns et des autres peut être parfois moins aisé à définir, et les frontières entre les rôles de chacun parfois ténues. Ainsi par exemple, la gestion de l’après-invalidation du Privacy-Shield1 l’illustre bien, l’adoption de mesures complémentaires

techniques, contractuelles ou organisationnelles pour sécuriser un transfert de données personnelles implique une bonne synergie avec les opérationnels et porteurs de projets mais également avec les responsables de la sécurité informatique de l’entreprise. Le volet cyber des relations contractuelles ne peut donc être écarté et le Légal doit travailler en co-construction avec l’équipe informatique pour imposer des standards de sécurité minimaux aux prestataires. Au demeurant, le juriste ne peut faire l’économie de s’inscrire dans une culture de management projet. En particulier en la matière, son rôle va au-delà du juridique à proprement parler et nécessite de pouvoir appréhender d’autres enjeux venant doper son angle de vue initial. Dans cette ouverture aux autres cultures métiers et le dépassement des silos traditionnels, les "partenaires " pourront avancer main dans la main et la globalité des rouages du projet ou de l’activité n’en sera que mieux cernée et sa sécurité juridique assurée. En ce sens, et avec l’appui de la direction, le RGPD conduit à mettre en place une organisation de travail collaborative et transversale – dans les processus et le management – entre des acteurs internes à l’entreprise mais également au sein même de la fonction juridique elle-même, par exemple entre des juristes référents et des juristes opérationnels, à un échelon central ou à un échelon local... De surcroît, l’approche collaborative de traitement des problématiques de protection des données vient faire émerger un enjeu fort d’optimisation du temps passé par chacun et en particulier du Légal. Elle conduit dès lors à s’interroger sur l’outillage et les méthodologies de travail déployés : sont-ils suffisamment structurants et source d’efficience ?

L’éclatement de l’information, la ressaisie, ou la répétition de tâches sont autant de sujets abordés en creux d’une démarche de mise en conformité au RGPD. Si l’expérience utilisateur proposée par une solution peut permettre d’améliorer la dynamique globale et transversale de travail, avec les interactions des différentes parties prenantes, et conduire à n’avoir plus qu’à suivre un fil rouge pour gérer le récurrent, alors le juriste pourra pleinement s’ancrer dans une approche de maîtrise des risques liés aux relations contractuelles et aux obligations réglementaires. Recentré sur des tâches à valeur ajoutée, intrinsèquement liées à son expertise juridique, son rôle n’en sera que plus renforcé et ses spécificités assises.

Le Légal au service du business

En somme, méthodologies de travail avec vision de pilotage, coordination des métiers en interne et travail en réseau, enrichissement des savoir-faire et savoir-être, recours à des solutions intelligentes valorisant les expertises métiers… sont autant d’axes de développement ou d’ancrage devant permettre au Légal de mettre son expertise propre et sa créativité au service de la croissance de l’entreprise, dans sa capacité à s’adapter au changement face aux perpétuelles innovations technologiques et dans la nécessité de se démarquer dans un environnement concurrentiel croissant.

1: Invalidation du « Privacy Shield » (bouclier de protection des données UE-Etats-Unis) par arrêt de la Cour de justice de l’Union européenne rendu le 16 juillet 2020 (CJUE, Aff. C-311/18, Data Protection Commissioner contre Facebook Ireland Ltd et Schrems)

Claire de la Fouchardière Product Manager Adequacy Déléguée à la protection des données certifiée (AFNOR). Ayant commencé sa carrière en tant qu’avocate, Claire de la Fouchardière met aujourd’hui son expertise au service d’Adequacy, solution logicielle de management et de protection des données à caractère personnel.