Expertises
Droit, technologies & prospectives

interview / Charlène GABILLAT et Emma GOLDITÉ

SAINT-GOBAIN : UNE GESTION AGILE DES FLUX TRANSFRONTIERES ET DES DONNEES

Droit, technologies & prospectives

Tous les mois, toute l'actualité du numérique... Et tellement plus !

Nos derniers numéros

EXPERTISES N°501 - mai 2024 - SAINT-GOBAIN : UNE GESTION AGILE DES FLUX TRANSFRONTIERES ET DES DONNEES / Charlène GABILLAT et Emma GOLDITÉ
N°501 – mai 2024
EXPERTISES N°500 - avril 2024 - DROIT DU NUMÉRIQUE : RÉTROSPECTIVE ET PERSPECTIVES / Alain BENSOUSSAN
N°500 – avril 2024
EXPERTISES N°499 - mars 2024 - Extra -                                                                                                                                                                                                                                         Territorialité: menaces et solution / Pierre DESMARAIS
N°499 – mars 2024
EXPERTISES N°498 - février 2024 - Rassurer les assureurs sur la Blockchain / Nicolas Hélénon, Delphine Mercelat, Emmanuel du Ranquet
N°498 – février 2024
EXPERTISES N°497 - janvier 2024 - FiDA, l’open finance qui fait peur à l’assurance / Anne-Sophie Morvan
N°497 – janvier 2024
EXPERTISES N°496 - décembre 2023 - Le droit, créateur d’un marché de la donnée / Marie-Hélène Tonnellier
N°496 – décembre 2023
EXPERTISES N°495 - novembre 2023 - L’Europe de la donnée, malgré les différences / Simon Chignard
N°495 – novembre 2023
EXPERTISES N°494 - octobre 2023 - Se défendre dans la jungle des noms de domaine wEB3 / Matthieu Quiniou
N°494 – octobre 2023
EXPERTISES N°493 - septembre 2023 - RGPD & Droit de la concurrence « Entente » mode d’emploi / Richard Milchior
N°493 – septembre 2023
EXPERTISES N°492 - juillet 2023 - DPO : un métier en souffrance / Bruno RASLE
N°492 – juillet 2023
EXPERTISES N°491 - juin 2023 - L’UE s’investit dans les crypto-actifs / Arnaud Touati
N°491 – juin 2023
EXPERTISES N°490 - mai 2023 - Transhumanisme : un changement de civilisation / Amandine Cayol, Emilie Gaillard et Coline Vuillermet
N°490 – mai 2023
EXPERTISES N°489 - avril 2023 - Anonymiser : une question de gestions de risques / Maryline Laurent
N°489 – avril 2023
EXPERTISES N°488 - mars 2023 - Actifs immatériels : Une valeur encore trop sous-estimée / Sylvie Gamet
N°488 – mars 2023
EXPERTISES N°487 - février 2023 - Flux transatlantique de données : Des progrès mais… / Bradley Joslove
N°487 – février 2023
EXPERTISES N°486 - janvier 2023 - L’intelligence juridique : pour un juriste stratège / Véronique Chapuis-Thuault
N°486 – janvier 2023
EXPERTISES N°485 - décembre 2022 - Les problématiques virtuelles des métavers / Caroline Laverdet
N°485 – décembre 2022
EXPERTISES N°484 - novembre 2022 - BIG DATA DEMATERIALISATION DU REEL / Antoinette Rouvroy
N°484 – novembre 2022
EXPERTISES N°483 - octobre 2022 - Intelligence artificielle : Vers une justice plus sécurisée / Thomas Cassuto
N°483 – octobre 2022
EXPERTISES N°482 - septembre 2022 - MiCA, un règlement qui manque de hauteur / Pierre Storrer
N°482 – septembre 2022
EXPERTISES N°481 - juillet 2022 - Néobanques, le far west bancaire / Aude Poulain de Saint Père
N°481 – juillet 2022
EXPERTISES N°480 - juin 2022 - Géopolitique du numérique et risque de fragmentation / HENRI VERDIDER
N°480 – juin 2022
EXPERTISES N°479 - mai 2022 - Ransomware : payez la rançon l'assurance rembourse / Valéria FAURE-MUNTIAN
N°479 – mai 2022
EXPERTISES N°478 - avril 2022 - RÉDUIRE LA POLLUTION DU NUMÉRIQUE : UNE LOI PIONNIÈRE / Patrick CHAIZE et Frédéric BORDAGE
N°478 – avril 2022
EXPERTISES N°477 - mars 2022 - LE CASSE-TETE DE LA FISCALITE DES CRYPTO-MONNAIES / Frédéric poilpré
N°477 – mars 2022
EXPERTISES N°476 - février 2022 - Véhicule connecté : l'enjeu des données / Romain Perray
N°476 – février 2022
EXPERTISES N°475 - janvier 2022 - DROIT DU LOGICIEL : ETAT DES LIEUX / Bernard LAMON
N°475 – janvier 2022
EXPERTISES N°474 - décembre 2021 - Open data judiciaire : Un lancement prudent / Estelle Jond-Necand
N°474 – décembre 2021
EXPERTISES N°473 - novembre 2021 - La data au cœur des investigations internes / Jean-Julien Lemonnier
N°473 – novembre 2021
EXPERTISES N°472 - octobre 2021 - ROMAIN DARRIERE / INFLUENCEURS VERS LA MATURITÉ
N°472 – octobre 2021
EXPERTISES N°471 - septembre 2021 - ENTENTES ALGORITHMIQUES / NATASHA TARDIF
N°471 – septembre 2021
EXPERTISES N°470 - juillet 2021 - Brevets IA : les écueils à éviter / Mathias Robert
N°470 – juillet 2021
EXPERTISES N°469 - juin 2021 - IA : POUR UN DROIT DE RUPTURE / ALAIN BENSOUSSAN
N°469 – juin 2021
EXPERTISES N°468 - mai 2021 - Néoassurance, un modèle qui émerge / Christophe Dandois
N°468 – mai 2021
EXPERTISES N°467 - mars 2021 - Humain / machine : la nouvelle division du travail juridique / Olivier CHADUTEAU
N°467 – mars 2021
EXPERTISES N°466 - mars 2021 - DSA/DMA : CHANGEMENT DANS LA CONTINUITÉ / ANNE COUSIN ET JEAN-MATHIEU COT
N°466 – mars 2021
EXPERTISES N°465 - février 2021 - CMP : UN PASSEUR DE CONSENTEMENT / Romain BESSUGES-MEUSY
N°465 – février 2021
EXPERTISES N°464 - janvier 2021 - L’expertise-conciliation : pacifier les litiges / Fabien CLEUET et François-Pierre LANI
N°464 – janvier 2021
EXPERTISES N°463 - décembre 2020 - Matching prédictif un recrutement biaisé / Stéphanie Lecerf
N°463 – décembre 2020
EXPERTISES N°462 - novembre 2020 - La révolution open banking / Thibault Verbiest
N°462 – novembre 2020
EXPERTISES N°461 - octobre 2020 - IA en procès / Yannick Meneceur
N°461 – octobre 2020
EXPERTISES N°460 - septembre 2020 - Smart city : intérêt général by design / Jacques Priol
N°460 – septembre 2020
EXPERTISES N°459 - juillet 2020 - Transmettre l'immatériel / David Ayache
N°459 – juillet 2020
EXPERTISES N°458 - juin 2020 - Les racines de notre dépendance technologique / Christian HARBULOT
N°458 – juin 2020
EXPERTISES N°457 - mai 2020 - Covid 19 & données personnelles<br>De la défiance à la confiance / Yann Padova” title=”EXPERTISES N°457 – mai 2020 – Covid 19 & données personnelles<br>De la défiance à la confiance / Yann Padova” description=”EXPERTISES N°457 – mai 2020-  Covid 19 & données personnelles<br>De la défiance à la confiance / Yann Padova”></div>
<div class=N°457 – mai 2020
EXPERTISES N°456 - avril 2020 - Pour l’ouverture<br>des données privées / Laurent Lafaye” title=”EXPERTISES N°456 – avril 2020 – Pour l’ouverture<br>des données privées / Laurent Lafaye” description=”EXPERTISES N°456 – avril 2020-  Pour l’ouverture<br>des données privées / Laurent Lafaye”></div>
<div class=N°456 – avril 2020
EXPERTISES N°455 - mars 2020 - Profilage :<br> pratiques & parades / Cédric Lauradoux” title=”EXPERTISES N°455 – mars 2020 – Profilage :<br> pratiques & parades / Cédric Lauradoux” description=”EXPERTISES N°455 – mars 2020-  Profilage :<br> pratiques & parades / Cédric Lauradoux”></div>
<div class=N°455 – mars 2020
EXPERTISES N°454 - février 2020 - La robustesse de<br>la PI face A l’IA / Franck Macrez” title=”EXPERTISES N°454 – février 2020 – La robustesse de<br>la PI face A l’IA / Franck Macrez” description=”EXPERTISES N°454 – février 2020-  La robustesse de<br>la PI face A l’IA / Franck Macrez”></div>
<div class=N°454 – février 2020
EXPERTISES N°453 - janvier 2020 - RGPD : une révolution dans la continuité / Ariane MOLE
N°453 – janvier 2020
EXPERTISES N°452 - décembre 2019 - le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche” title=”EXPERTISES N°452 – décembre 2019 – le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche” description=”EXPERTISES N°452 – décembre 2019-  le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche”></div>
<div class=N°452 – décembre 2019
EXPERTISES N°451 - novembre 2019 - Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus” title=”EXPERTISES N°451 – novembre 2019 – Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus” description=”EXPERTISES N°451 – novembre 2019-  Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus”></div>
<div class=N°451 – novembre 2019
EXPERTISES N°450 - octobre 2019 - Numérique :<br>le défi fiscal / Frédéric Douet” title=”EXPERTISES N°450 – octobre 2019 – Numérique :<br>le défi fiscal / Frédéric Douet” description=”EXPERTISES N°450 – octobre 2019-  Numérique :<br>le défi fiscal / Frédéric Douet”></div>
<div class=N°450 – octobre 2019
EXPERTISES N°449 - septembre 2019 - L'impérialisme<br>juridique / Olivier de Maison Rouge” title=”EXPERTISES N°449 – septembre 2019 – L’impérialisme<br>juridique / Olivier de Maison Rouge” description=”EXPERTISES N°449 – septembre 2019-  L’impérialisme<br>juridique / Olivier de Maison Rouge”></div>
<div class=N°449 – septembre 2019
EXPERTISES N°448 - juillet 2019 - DPO : un métier<br>qui s’installe / Paul Olivier Gibert” title=”EXPERTISES N°448 – juillet 2019 – DPO : un métier<br>qui s’installe / Paul Olivier Gibert” description=”EXPERTISES N°448 – juillet 2019-  DPO : un métier<br>qui s’installe / Paul Olivier Gibert”></div>
<div class=N°448 – juillet 2019
EXPERTISES N°447 - juin 2019 - Le RGPD : du droit sans vision stratégique / Julien Nocetti
N°447 – juin 2019
EXPERTISES N°446 - mai 2019 - IGN : la gratuitE des données en question / Marie Pisan
N°446 – mai 2019
EXPERTISES N°445 - avril 2019 - Nom de domaine un actif et des risques / Nathalie Dreyfus
N°445 – avril 2019
EXPERTISES N°444 - mars 2019 - Les logiciels libres, un modèle mature / Benjamin Jean
N°444 – mars 2019
EXPERTISES N°443 - février 2019 - Résister à la gouvernance algorithmique / François Pellegrini
N°443 – février 2019
EXPERTISES N°442 - janvier 2019 - Anticiper sa survie numérique au-delà de sa mort / Mathieu Fontaine
N°442 – janvier 2019
EXPERTISES N°441 - décembre 2018 - Intelligence artificielle et médecine quelle éthique pour demain ? / David Gruson
N°441 – décembre 2018
EXPERTISES N°440 - novembre 2018 - Blockchain AS A SERVICE Démocratisation de la blockchain ? / Marc-Antoine Ledieu
N°440 – novembre 2018
EXPERTISES N°439 - octobre 2018 - Nathalie Nevejans / Nathalie Nevejans
N°439 – octobre 2018
EXPERTISES N°438 - septembre 2018 - Pour la médiation judiciaire en  propriété  intellectuelle / Françoise Barutel Naulleau
N°438 – septembre 2018
EXPERTISES N°437 - juillet 2018 - Science-fiction : quand l’imaginaire devient source de droit / Fabrice Defferrard
N°437 – juillet 2018
EXPERTISES N°436 - juin 2018 - CONTRATS, Accès indirects & coûts cachés : SAP BRISE LA GLACE AVEC Ses utilisateurs / Gianmaria Perancin
N°436 – juin 2018
EXPERTISES N°435 - mai 2018 - L’innovation prédatrice Un nouveau défi pour le droit de la concurrence / Thibault Schrepel
N°435 – mai 2018
EXPERTISES N°434 - avril 2018 - LES données LA NOUVELLE INGENIéRIE  DU POUVOIR / Adrien Basdevant
N°434 – avril 2018
EXPERTISES N°433 - mars 2018 - L’open data de la jurisprudence : Le casse-tête de l’anonymisation / Loïc Cadiet
N°433 – mars 2018
EXPERTISES N°432 - février 2018 - RGPD : vers un futur standard global / Max Schrems
N°432 – février 2018
EXPERTISES N°431 - janvier 2018 - L’angoisse du RGPD la Cnil rassure / Jean Lessi
N°431 – janvier 2018
EXPERTISES des systèmes d’informationmai 2024 – N°501

L'édito du mois

Retard

La France a l’habitude de surtransposer les normes européennes. « Notre pays se caractérise par la place importante des surtranspositions “politiques” où l’arbitrage politique et la volonté d’aller toujours plus loin l’emportent sur le choix d’une transposition mesurée. », constate la Fondation pour la recherche sur les administrations et les politiques publiques. Ce phénomène touche aussi les règlements européens, pourtant directement applicables, auxquels la France veut parfois imprimer sa note locale. C’est ce qu’on a pu observer avec la loi visant à sécuriser et à réguler l’espace numérique (SREN) dont l’adoption a été retardée de près d’un an, car la dimension européenne a mal été intégrée dans la rédaction du texte.
En application de la directive européenne du 9 septembre 2015, toute nouvelle réglementation technique ou relative à des services de la société de l’information par un État membre doit, préalablement à son adoption, être portée à la connaissance de la Commission européenne et des autres États membres, afin qu’ils vérifient que les dispositions envisagées ne risquent pas d’entraver, directement ou indirectement, les échanges intracommunautaires. C’est ainsi que le projet de loi SREN a été notifié à Bruxelles. Or, la Commission a émis deux « avis circonstanciés » à la France, le 25 octobre 2023 et le 17 janvier 2024 sur le projet de loi qui a eu pour conséquence de bloquer le processus législatif français pendant huit mois, obligeant les législateurs à remanier le texte afin de le rendre compatible avec le droit européen.
La loi SREN qui vise, entre autres, à adapter divers règlements de l’UE au sein du cadre législatif français, est allée au-delà des limites permises. Par exemple, le projet initial obligeait les sites pornographiques à avertir les utilisateurs avant qu’ils ne regardent une scène dans laquelle est commise une infraction pénale telle qu’un viol ou une agression sexuelle. La Commission a vivement critiqué cette disposition, estimant qu’elle aurait poussé les plateformes pornographiques à exercer une surveillance de masse sur les contenus qu’elles hébergent, ce qui est interdit car contraire au règlement sur les services numériques (DSA). Le texte prévoit désormais que les plateformes doivent afficher « à tout moment » un message d’avertissement rappelant aux spectateurs que ce qu’ils regardent simule des comportements illégaux. De même, le texte initial imposait la vérification de l’âge pour toutes les entreprises fournissant des services en France. Or, la législation européenne n’autorise pas les États membres à imposer des obligations générales aux entreprises domiciliées dans d’autres pays de l’UE que le leur. Les parlementaires ont corrigé le tir en appliquant cette exigence aux seules entreprises ayant leur siège en France ou en dehors de l’Union.
Le projet de loi SREN n’arrive pas pour autant au bout du processus législatif. Il reste encore deux étapes à franchir. D’abord celle du Conseil constitutionnel, suite à la saisine de 120 députés et sénateurs (RN et LFI). Par ailleurs, la France doit notifier une troisième fois le texte final à la Commission européenne, retardant d’autant son adoption définitive.
Le sénateur LR Patrick Chaize, co-rapporteur du projet est très critique à l’égard du gouvernement qui a « mal anticipé les contraintes procédurales » qui pèsent sur le projet législatif faisant prendre ainsi du retard à la France par rapport au calendrier fixé par les textes européens, notamment la désignation de l’autorité chargée de l’application du DSA pour la modération des contenus (avant le 17 février 2024).
Le problème n’est pas nouveau. Cette mauvaise prise en compte des textes européens avait déjà fait l’objet d’un rapport du Sénat en 2018 qui invoquait un frein pour la compétitivité des entreprises. Un projet de loi ainsi qu’une proposition de loi constitutionnelle entendaient résoudre le problème, mais ils ne furent jamais adoptés. Puis, le 22 mars dernier, une circulaire du Premier ministre est venue préciser la procédure de mise en oeuvre du droit de l’Union européenne afin de mieux anticiper l’impact des normes nouvelles, d’améliorer la qualité de leur mise en oeuvre et de limiter l’ouverture de procédures d’infraction (60 depuis le 1er janvier 2023). Reste à voir si, en insistant sur la méthode rédactionnelle, cette circulaire aura un impact pour une meilleure prise en compte du droit européen.

Le focus du mois

Le cloud européen est mal parti

L’idée de souveraineté numérique dans le cloud en Europe semble s’éloigner de plus en plus, en raison du refus d’une majorité d’Etats membres de l’UE d’imposer des exigences de localisation en Europe des prestataires de cloud pour les données sensibles.

L’Union européenne s’apprête à abandonner les critères de sécurité juridique, imposant notamment une localisation européenne pour les données les plus sensibles, dans le projet européen de certification des services « cloud » (European Union Cybersecurity Certification Scheme for Cloud Services, EUCS), destiné à définir les exigences communes pour les Etats membres de l’UE. La France et l’industrie européenne du cloud (dont beaucoup d’entreprises) ont beau alerté sur nos besoins d’autonomie numérique, la majorité des Etats membres opposent la menace sur la cybersécurité, s’ils devaient renoncer aux leaders américains du cloud.
Le groupe d’experts européens réunis les 14 et 15 avril derniers sous l’égide de l’agence de l’UE pour la cybersécurité l’Enisa, afin d’adopter l’EUCS, ont choisi de repousser leur décision d’un mois faute de consensus. Une fois que l’Enisa aura validé l’EUCS, la Commission européenne publiera un acte d’exécution en vertu du règlement sur la cybersécurité, faisant de ce schéma un cadre européen commun que tous les États membres pourront utiliser volontairement. Ces derniers pourront adopter des lois nationales rendant l’EUCS obligatoire pour un ensemble de données spécifiques, tout comme la loi SREN le fait pour les données relatives à la santé ou à la sécurité nationale.
Dans la foulée du Cyber Act 2020, l’Enisa avait amorcé ce projet européen afin que les acteurs certifiés du cloud puissent garantir un haut niveau de cybersécurité similaire sur tout le territoire de l’UE. En effet, si la France est dotée de la certification la plus exigeante avec le SecNumCloud, les autres Etats ont également instauré un mécanisme de certification cloud mais avec un niveau d’exigence moins large.
Le projet de certification avait défini trois niveaux de certification possibles, avec des conditions différentes selon le niveau de sécurité exigé : le niveau basique (basic), le niveau substantiel (substantial) et le niveau élevé (high), lui-même divisé en deux niveaux distincts : CS-EL3 (élevé) et CS-EL4 (élevé+). Ce niveau 4 imposait que toutes les activités de traitement des données du prestataire aient lieu dans l’UE, à moins que les clients n’acceptent certaines exceptions limitées. Les fournisseurs de services cloud devaient dans ce cas dresser la liste de toutes les activités d’assistance réalisées en dehors de l’Europe. Et pour construire et maintenir leur infrastructure numérique, les fournisseurs de cloud ne devaient faire appel qu’à un fournisseur de services de confiance basé dans un pays de l’Union.
Pour les données les plus sensibles, la France et d’autres pays membres militent pour un niveau de certification équivalent à SecNumCloud qui comprend un critère de sécurité juridique. Le référentiel français actuel, permettant d’obtenir la certification SecNum Cloud, prévoit dans son point 19.2 « Localisation de données » que le prestataire doit stocker et traiter les données du commanditaire au sein de l’UE, que les opérations d’administration et de supervision du service doivent être réalisées depuis l’UE, et que le prestataire doit stocker et traiter les données techniques au sein de l’UE.
Mais ces exigences qui figuraient aussi dans l’EUCS excluent les leaders du cloud soumis au droit américain, du plus haut niveau d’assurance de la certification européenne, car ils sont tenus de se conformer aux exigences du Cloud act et au Fisa (qui vient d’être prorogé pour deux ans).
C’est justement ce dernier niveau qui fait l’objet du dissensus et qui devrait disparaître de l’EUCS ; les seuls critères purement techniques devraient être conservés. Une quinzaine d’Etats membres dont les Pays-Bas, le Danemark, l’Irlande, la Suède mais aussi l’Allemagne qui a tardivement rejoint ce groupe, soutiennent l’idée d’un marché libre, ouvert à tous les acteurs. Ils craignent notamment que ces exigences de souveraineté conduisent à un affaiblissement du niveau de cybersécurité au sein de l’UE car l’EUCS empêcherait les entreprises européennes, et plus particulièrement celles des petits pays, d’accéder à des services de cybersécurité de haut niveau, considérant que les fournisseurs de cloud étrangers ne seraient pas en mesure d’obtenir les niveaux de certification « élevé » et « élevé+ ». Ce qui les obligerait à faire appel à des fournisseurs européens, jugés moins performants en matière de cybersécurité et de résilience.
D’autres Etats, dont l’Italie, l’Espagne, et la France en chef de file, poussent pour faire adopter ces exigences destinées à renforcer la souveraineté. « Si nous échouons à faire en sorte que les données les plus sensibles soient traitées au juste niveau, l’ensemble des enjeux à venir, et notamment celui de l’intelligence artificielle, sont voués à se résumer à un renforcement permanent de notre vassalité numérique, quelle que soit la productivité réglementaire européenne » a déclaré Guillaume Poupard, le directeur général adjoint de Docaposte et ancien patron de l’Anssi.
Pour concilier ces deux points de vue opposés, un compromis a été proposé qui consiste à laisser les pays libres de fixer leurs propres normes en plus de celles prescrites par le système. Compromis auquel la France est opposée, comme les 8 entreprises, fournisseurs et utilisateurs de cloud européen signataires d’une lettre ouverte pour maintenir les critères juridiques. Selon eux, l’EUCS, en l’état, entraînerait une fragmentation du marché, car la responsabilité de définir les éléments souverains incombera aux régulateurs nationaux. Et cela compromettrait la viabilité des solutions de cloud souverain en Europe, dont beaucoup sont en cours de développement ou déjà disponibles sur le marché. En l’état du rapport de force au sein de l’UE, l’idée d’un cloud souverain européen semble bien compromise.

par Sylvie Rozenfeld

L'invité du mois

Interview / Charlène GABILLAT et Emma GOLDITÉ

par Sylvie Rozenfeld

Saint-Gobain : Une gestion agile des flux transfrontières de données

Les transferts internationaux de données constituent des enjeux complexes surtout quand il s’agit de la traduction des exigences réglementaires dans la réalité opérationnelle d’un groupe tel que Saint-Gobain, présent dans 76 pays. Emma Goldité, Group Digital & IT General Counsel et Charlène Gabillat, DPO Groupe de Saint-Gobain nous exposent l’organisation de la gestion des transferts internationaux de données personnelles. Elles racontent par ailleurs comment ont été géré les flux transatlantiques de données après l’invalidation du Safe Harbor et pourquoi il a été décidé de maintenir les clauses contractuelles types malgré le Data Privacy Framework. Enfin, elles évoquent les particularités des transferts de données chinois.

Sylvie Rozenfeld : J’ai été très intéressée par votre présentation de la gestion des transferts internationaux au sein du groupe Saint-Gobain lors des Universités de l’AFCDP 2024 en février dernier et j’avais envie de faire partager votre expérience aux lecteurs d’expertises. Vous êtes toutes les deux spécialistes de la protection des données personnelles. Emma Goldité, vous êtes Group Digital & IT General Counsel et jusqu’en 2022, vous étiez Responsable juridique nouvelles technologies et protection des données. Charlène Gabillat, vous êtes DPO Groupe de Saint-Gobain. Jusqu’en 2022, vous étiez Deputy DPO & Privacy Legal Expert. Comment s’organise la protection des données personnelles au sein du groupe Saint-Gobain ?

Charlène Gabillat : Je suis arrivée dans le groupe en février 2020, au moment où la directrice juridique prenait sa retraite. On en a profité pour repenser l’approche de la protection des données personnelles. En juillet 2022, le périmètre de la fonction de DPO s’est étoffé et je suis devenue DPO Groupe. Auparavant, j’étais uniquement dédiée à la holding. C’est à cette époque que nous avons décidé d’avoir une approche globale au niveau du groupe. Mon département a rejoint le département « Ethique et conformité » car nous souhaitions bénéficier et rechercher des synergies avec d’autres piliers de la conformité. J’ai donc quitté la direction juridique IT.

Emma Goldité : Je suis directrice juridique groupe pour tout ce qui touche aux technologies de l’information et à la digitalisation. Mon équipe et moi-même sommes rattachées au secrétaire général du groupe. Nous nous occupons des aspects contractuels de la protection des données, nous fixons un certain nombre de règles sur les nouvelles technologies pour le groupe au niveau mondial.

Pourquoi le choix d’un DPO juriste ?

C. G. : Plusieurs facteurs ont mené à ce choix. D’abord, alors que dans beaucoup de groupes, historiquement ce sont les RSSI qui sont devenus correspondants Informatique et libertés puis DPO, chez nous, la première personne à s’être saisie de ces questions était l’ancienne directrice juridique IT. Nous avons constaté que ça fonctionnait et ça a été confirmé par le RGPD. La section consacrée au DPO dans le règlement met en avant la compétence liée au droit. Lors de la désignation d’un DPO, il est demandé de rechercher plus particulièrement une connaissance spécialisée en droit de la protection des données personnelles. Cela a du sens car le droit se trouve à la racine de cette matière. Ensuite, un certain nombre d’expertises au-delà du droit sont utiles. C’est la raison pour laquelle les équipes de DPO sont composées de personnes qui viennent de milieux et de parcours divers. Par ailleurs, le DPO ne travaille pas seul, notre binôme avec la direction Juridique Digital & IT le prouve. Par exemple, mon équipe n’est pas chargée des contrats ni des clauses relatives à la protection des données personnelles, contrairement à ce qui se fait dans d’autres groupes. Bien sûr, nous échangeons mais nous ne sommes pas en charge de la stratégie contractuelle qui est assurée par ceux qui sont confrontés chaque jour aux éditeurs.

E. G. : C’est mon équipe qui s’en occupe et qui détermine la manière de rédiger les clauses, quels templates utiliser, les met à jour et à disposition, explique comment on utilise ces documents, etc. Pour ce qui est du choix d’un juriste comme DPO, je note que le métier de juriste est un métier d’écoute. On absorbe la connaissance de quelqu’un d’autre et on est porté à vulgariser notre travail, ce que beaucoup d’autres fonctions n’ont pas à faire.

Le choix d’un juriste correspond-il davantage à un groupe, une grande entreprise ?

C. G. : On a effectivement la chance de pouvoir collaborer avec d’autres experts. Par exemple, je n’ai pas d’expertise en cybersécurité mais je discute au quotidien avec les experts du groupe. C’est la même chose pour la gouvernance des données. Je sais que dans d’autres groupes, ce sujet est géré par l’équipe du DPO mais nous n’avons pas fait ce choix. Je trouve beaucoup plus enrichissantes les discussions de département à département. Je n’ai pas besoin de quelqu’un qui soit expert en data governance dans mon équipe car nous ne travaillons pas en solo. On a beau ne pas être dans les mêmes départements, le département Conformité pour ce qui me concerne et le département Juridique pour Emma Goldité, nous nous parlons quotidiennement et la collaboration est fluide car nous avons des objectifs communs. C’est aussi le cas avec le département Data Governance, celui des Data Scientists, etc. Emma Goldité travaille depuis de nombreuses années avec les experts en IT et en cybersécurité. Je le faisais ég…

Les doctrines du mois

Données personnelles

Utilisation secondaire des données de santé : Un rapport prometteur aux recommandations pragmatiques

Par Par Jeanne BOSSI MALAFOSSE et Grégoire PETYT

Le 18 janvier 2024 a été publié le rapport Marchand-Arvier « Fédérer les acteurs de l’écosystème pour libérer l’utilisation secondaire des données de santé ». Il recommande de faire évoluer le système gouvernant l’utilisation secondaire des données de santé et d’inciter les acteurs de l’écosystème à s’engager collectivement, avec confiance et résolument dans une logique et une culture d’ouverture et de partage.

Prospective

Les drones taxis ou « eVTOL »

Par Par Laurent ARCHAMBAULT et Pascal DUPONT

Doit-on y croire et faut-il y croire ? Quel encadrement technique et juridique en particulier s’avère nécessaire, en particulier à l’occasion des J.O de Paris 2024 ? Si ce projet s’avère difficilement réalisable d’ici quelques semaines au regard notamment des contraintes réglementaires, il n’en est pas moins nécessaire de s’interroger sur les enjeux du drone taxi (« Air Taxis ») autrement dit les avions à décollage et atterrissage verticaux (vertical take-off and landing ou VTOL), distincts des hélicoptères, qui relèvent de la famille des aéronefs sans équipage à bord.

Souveraineté des données de santé

Du consensus sur la localisation aux divergences sur l’immunité

Par Par Lorraine Maisnier-Boché

Durant ces dernières années, la prise de conscience de l’extra-territorialité des lois étrangères et des risques corollaires d’accès aux données européennes ont entrainé des exigences croissantes mais diffuses en matière de souveraineté des données de santé, sur fond de dissensions. La récente décision du juge des référés du Conseil d’Etat concernant le Health Data Hub, la finalisation des travaux parlementaires sur le projet de loi SREN ainsi que les avancées des discussions sur le schéma de certification européen EUCS, sont l’occasion de faire le point sur la nature et la portée de ces exigences.

Intelligence artificielle

Quelles réformes pour un accès aux données ?

Par Par Alexandre FIEVEE et Alice Robert

Si l’accès aux données est une nécessité pour le développement de l’IA, il existe de nombreux obstacles qui répondent à des « objectifs de protection » (vie privée, propriété intellectuelle, etc.) constate la Commission de l’intelligence artificielle mise en place par le gouvernement. Etat des lieux et examen des propositions du rapport de la Commission.

Les voix de Cyberlex

Légiférer sur l’intelligence artificielle : L’exemple de la proposition de loi visant à encadrer l’IA par le droit d’auteur

Par Par Cédric MANARA

Périodiquement, un membre de l’association Cyberlex s’exprime sur un sujet d’actualité relatif au droit du numérique (ou de l’internet). Dans ce numéro, Cédric Manara a choisi de commenter la proposition de loi qui vise à protéger les auteurs et artistes de la création face à l’intelligence artificielle.

Vidéosurveillance

Preuve illicite et vie privée : la confrontation

Par Par Isabelle Renard

Dans un arrêt rendu le 14 février 2024, la Cour de cassation confirme sa position en matière de production au procès civil d’une preuve obtenue de façon illicite, dans une espèce où une salariée avait été licenciée pour faute grave suite au visionnage par l’employeur d’enregistrements de vidéosurveillance.

RGPD

Sécurité : empêcher les accès inappropriés au dossier médica

Par Par Alexandre FIEVEE

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les différentes autorités nationales de contrôle au niveau européen et les juridictions européennes. Ce mois-ci, il se penche sur la question des règles d’habilitation qui font souvent défaut dans les établissements de santé, et ce en violation du principe de sécurité.

Expertises : Droit, technologies & prospectives

Tous les mois, toute l'actualité du numérique... Et tellement plus !

FORMULES D'ABONNEMENT

EXPERTISES N°483
EXPERTISES N°453
EXPERTISES N°434
EXPERTISES N°465
EXPERTISES N°448
EXPERTISES N°484