Quiconque aborde une mission RGPD pour le compte d’un client avec des préjugés du type : « un juriste n’est pas indispensable puisque la seule chose qui intéresse l’autorité nationale de contrôle est que la sécurité du système d’information soit assurée » ou à l’inverse que : « les questions techniques peuvent être mises de côté à la condition d’être mesure de montrer que les points juridiques fondamentaux ont été respectés à la lettre », prêche incontestablement pour sa paroisse (selon qu’il soit cabinet d’avocats ou société de cybersécurité), mais ne rend pas service à son client.
La réalité est que le RGPD (au même titre que la loi de 1978 avant lui) est un texte qui mêle à longueur d’articles des objectifs purement techniques à des considérations juridiques pratiques dont il est nécessaire de bien cerner les contours pour être ensuite en mesure d’expliquer au client ce qu’il doit mettre en place pour prétendre être en conformité.
L’idée étant de ne surtout pas de dire à tous les clients, quelles que soient leurs tailles et les données qu’ils traitent qu’ils seront tenus d’appliquer les règles avec la même rigueur.
A titre d’exemple, il est difficilement contestable que l’obligation de sécurité visée dans le RGPD est une mesure plus technique qu’elle n’est juridique, en revanche, la formulation utilisée dans le texte laisse place à une véritable interprétation juridique de ce que seront les mesures attendues véritablement.
Un juriste, habitué au caractère général de dispositions légales, devrait être en mesure de vous indiquer ce qui est de l’ordre du superflu et ce qui est indispensable dans une mise en conformité au regard d’un texte bien souvent peu directif quand il s’agit d’imposer ou non des mesures d’ordre technique.
Le Règlement n’a, en effet, jamais eu pour objectif qu’une PME se voit conseiller de mettre en place les mêmes règles qu’une société comme « Total ».
Il peut néanmoins arriver qu’une PME opérant dans un domaine connexe à celui de la santé se voit conseiller des mesures beaucoup plus complexes que celles d’une ETI spécialisée dans la vente de produits de boulangerie pour la seule raison de la sensibilité des données traitées par la première.
Il est inutile d’opposer les intervenants techniques aux intervenants juridiques comme si les uns pouvaient véritablement s’affranchir des diligences des autres.
En revanche, selon la façon dont votre société est organisée, vous pourriez légitimement vous poser la question de l’utilité ou non de solliciter l’un et/ou l’autre pour vous mettre en conformité.
Si vous avez déjà en interne un département juridique suffisamment disponible pour prendre le RGPD à bras le corps, la question de ne faire travailler à ses côtés qu’une société spécialisée dans la sécurité des systèmes d’information se posera invariablement.
De la même façon, si vous sollicitez un cabinet d’avocats afin qu’il soit en mesure d’aiguiller vos directeurs techniques (CTO), RSSI et autres DSI sur les points cruciaux à vérifier en termes de sécurité et de confidentialité des données, l’utilité d’un accompagnement technique supplémentaire pourrait alors se poser.
Il suffit d’avoir déjà accompagné un ou plusieurs clients lors d’un contrôle inopiné de la CNIL antérieur ou postérieur à la mise en application du RGPD pour s’apercevoir que l’autorité de contrôle dépêche chez vous, à cette occasion, un auditeur des systèmes d’information (afin de s’assurer que tous les points d’ordre technique pourront être abordés entre sachants quel que soit le niveau de compétence de vos équipes internes) accompagné de 3 juristes des services des plaintes et des sanctions (afin que les points juridiques soient également abordés dans les grandes largeurs).
Une façon comme une autre de couper court à tout débat sur l’utilité des uns et des autres...