L’improvisation n’est pas de mise
En mai 2018, le Règlement Général sur la Protection des Données (RGPD) entrait en vigueur, invitant les entreprises et les collectivités à structurer la gouvernance des données à caractère personnel de leurs salariés, clients, fournisseurs… Trois ans et demi plus tard, où en sont les entreprises réunionnaises? Éléments de réponse avec Sulliman Omarjee, avocat et DPO externe.
L’arrivée du RGPD s’est traduite par une vague d’inquiétude pour les entreprises françaises, avec des impacts sur le recueil, le stockage, la protection, le traitement et la diffusion des DCP.
“À La Réunion, nombreux sont ceux qui ont essayé de faire eux-mêmes, bon an mal an, avec plus ou moins de réussite. Au sein des entreprises concernées par le traitement des DCP à grande échelle, beaucoup se sont improvisés Data Protection Officer (DPO), sans disposer des connaissances techniques, juridiques, pratiques, nécessaires à la fonction” explique l’avocat Sulliman Omarjee. Une profession à laquelle le RGPD reconnaît la qualité de DPO.
Profitant d’un effet d’aubaine, de nombreux acteurs ont également décidé de relever cette
fonction, “parfois de manière tout à fait crédible, mais sans la casquette d’avocat, impossible d’établir d’acte juridique” rappelle Me Omarjee.
Et d’illustrer : “Dans le cadre de la collecte de données clientèles par un opérateur de vente en ligne, si le DPO peut établir un certain nombre de mentions, seul un avocat dispose de la légitimité pour rédiger des conditions générales de vente à intégrer à la gestion des DCP”.
“Gare aux sanctions ! L’avocat est ainsi régulièrement sollicité pour revoir des documents,
la charte informatique notamment : “Un document essentiel à la sécurisation d’une entreprise, mais qui ne peut être implémenté sans un dialogue avec les représentants du personnel” explique celui qui liste, parmi les erreurs les plus fréquentes, une certaine précipitation ayant conduit à supprimer des fichiers existants, sous prétexte de devoir renouveler le consentement.
Aujourd’hui, le RGDP est une réalité connue ou inconnue, comprise ou incomprise. Il demeure beaucoup de fantasmes autour de lui, mais aussi des réalités plus dures, et notamment des sanctions” confirme l’avocat. Entre le 14 juin et le 27 juillet 2021, la CNIL a prononcé pas moins de quatre sanctions financières allant de 50.000 à 1.750.000€ à l’encontre d’entreprises nationales (dont l’une est représentée à La Réunion) de secteurs d’activité variés : e-commerce, assurance, biotechnologie et éditeur de presse. “Des sanctions qui doivent influencer les pratiques locales : la durée de conservation des données est souvent excessive, l’effacement des données pas toujours mis en oeuvre. En cas de contrôle, la CNIL se montre sévère sur ces obligations. De même, les manquements à la règlementation applicable aux cookies doivent inviter les acteurs de la place à faire preuve de prudence. Enfin, l’obligation d’information doit inviter les acteurs réunionnais à plus de rigueur dans la rédaction de leurs mentions. D’où l’importance d’un véritable accompagnement pour la mise en conformité RGDP” insiste Sulliman Omarjee.