in

Rencontre avec Fabrice Mattatia, auteur du manuel RGPD et droit des données personnelles | interview réalisée par Valentine Levacque pour DOCaufutur

Fabrice Mattatia, Directeur exécutif du mastère spécialisé Data Protection Management à l’Institut Mines-Télécom Business School,  publie la troisième édition de son manuel « RGPD et droit des données personnelles » aux éditions Eyrolles; un ouvrage complet sur le nouveau cadre juridique issu du RGPD et de la loi Informatique et Libertés de 2018

« Monsieur Mattatia, merci d’accepter d’échanger avec nous suite à la sortie de la troisième édition de votre manuel. Comment se fait-il qu’un ingénieur spécialisé dans le numérique, ancien conseiller de la secrétaire d’Etat au numérique, écrit sur les bouleversements du cadre juridique ? »

FM :  effectivement, je suis un ingénieur qui a viré juriste ! Après l’X, j’ai commencé ma carrière dans le numérique. Mais en cours de route je me suis rendu compte qu’il y avait des choses à maîtriser juridiquement pour aller plus loin. En 2010, j’ai donc soutenu une thèse en droit des données personnelles pour avoir une connaissance à la fois technique et juridique. Aujourd’hui je publie la troisième édition du manuel RGPD et droit des données personnelles parce que la version initiale est périmée ! Le bouleversement du paysage juridique nous oblige à prendre en compte le RGPD et la nouvelle loi de 2018.

« A qui s’adresse cet ouvrage sur le droit des données personnelles ? »

FM : l’idée d’origine est de faire de la vulgarisation. Il y a douze ans, j’ai constaté que le nœud du problème était que les juristes et les techniciens s’ignoraient. De ce fait on avait soit des projets techniques en dehors des possibilités légales, soit des projets de lois sur le numérique déconnectées de la réalité technique. Il fallait donc favoriser un brassage des connaissances.

Cet ouvrage s’adresse à un public qui a besoin d’une explication graduelle pour parvenir à une explication complète. A priori le lecteur découvre le sujet. On lui explique pas à pas pour l’amener à embrasser toute la complexité de la question. Cela concerne aussi bien les étudiants en droit ou en école d’ingénieurs que les juristes déjà en entreprise et les dirigeants (DRH, DSI, DG…) qui ignorent leurs nouvelles responsabilités. En bref : ce manuel développe concrètement ce qu’est le RGPD dont tout le monde parle et explique comment se mettre en conformité ! Quelles sont les obligations, que faire.

« Vous parlez d’un bouleversement du paysage juridique, selon vous, de quelles manières le RGPD marque-t-il un tournant dans le traitement des données à caractère personnel ? »

FM : en fait, d’un point de vue politique, il y a un tournant mineur et un tournant majeur. Le tournant mineur concerne l’aspect organisationnel : en fait c’est ce qu’il y a sous le capot pour un responsable du traitement des données. Cela concerne le changement d’organisation, toute la cuisine interne et l’intendance d’une organisation. Il « suffit » d’apprendre les nouvelles règles et de les appliquer. Par contre, le tournant politique majeur se fait du côté citoyen : maintenant il y a un risque de sanction pour ceux qui ne respectent pas la réglementation. On le voit avec les GAFAM : jusqu’ici Facebook ou Google étaient sanctionnés par la CNIL au maximum à 150 000€ d’amende. Aujourd’hui, les sanctions vont jusqu’à 4% du chiffre d’affaire mondial. C’est ça le tournant majeur : le RGPD devient crédible auprès des acteurs mondiaux.

« Selon vous, le RGPD participe-t-il à une Europe plus forte ? »

FM : bien sûr ! Avant, celui qui ne respectait pas la loi quant aux données personnelles préférait payer. Maintenant l’Europe fait des données personnelles un droit fondamental. L’Europe s’est elle aussi dotée d’un gros bâton (Big stick : référence à la doctrine de politique étrangère du président américain Theodore Roosevelt énoncée en 1901 : dans les affaires internationales, on est mieux respecté quand on a un « gros bâton ») et à partir de ce moment, l’Union Européenne peut vraiment discuter avec les acteurs mondiaux.

« A ce propos, qu’en est-il de la réaction des géants du web ? »

FM : tous disent qu’ils se sont mis en conformité, qu’ils respectaient déjà la réglementation. Maintenant la CNIL va avoir le droit de vérifier. Il existe déjà un certain nombre de litiges en cours ! Par exemples ceux contre Google au sujet du déréférencement mondial, ou concernant Facebook et le tracking des pages consultées. 

« Dans votre manuel vous posez la question suivante « comment concilier données personnelles et big data ? », avez-vous une réponse ? »

FM : je n’ai pas de réponse magique. En fait, avec le RGPD on ne peut pas avoir de réponses génériques : il y a bien trop de situations ! Il faut examiner chaque question au cas par cas. Vous savez, le RGPD est un texte de 99 articles, sur 80 pages, très compliqué. A chaque principe il y a des exceptions qui elles-mêmes comportent des cas particuliers. Ce qui est bien c’est d’avoir une vue d’ensemble du RGPD grâce à ce manuel, puis appliquer le règlement à un cas précis, sinon on a 50% de chance de se tromper.

Par exemple, dans le cas du big data, le RGPD prévoit notamment d’obtenir le consentement des personnes, ou de choisir des nouvelles finalités « compatibles ».

« Que pensez-vous des impacts financiers du RGPD sur les entreprises? En termes de capital humain déployé et de temps dépensé, qui s’ajoutent aux risques financiers ? »

FM : bien sûr l’impact humain et financier est énorme : il faut recruter des consultants, des juristes, des experts pour analyser les textes. On oublie aussi généralement le coût informatique et le coût de support de communication : il faut changer les mentions légales sur les pages web, les contrats, les documents papiers et on risque de devoir développer des applications compatibles pour la portabilité des données ou la limitation des traitements. Le coût financier du RGPD n’a pas fini de faire parler entre les DSI, les directions financières et les juristes. On estime pour une entreprise du CAC 40 un coût d’environ 50 millions d’euros….

« Quelles sont les principales obligations que le RGPD impose ? »

FM : pour le responsable de traitement, la principale obligation est d’être capable de prouver à tout moment qu’il est en conformité avec le RGPD. Est-ce que tout ce que je fais est bien conforme et est-ce que je suis capable de le prouver à tout moment. L’intérêt est de commencer par un grand ménage. On améliore l’existant ou on supprime les applications inutiles, on passe en revue tout ce qu’on fait et on se demande si c’est correct et si c’est sécurisé. Aujourd’hui en plus du risque financier il y a aussi le risque de perdre ses clients en cas de non-conformité. La réputation d’une entreprise est engagée.

« Et enfin, monsieur Mattatia, dans quelle mesure le RGPD fait-il preuve d’éthique ? »

FM : le RGPD va forcer à être éthique et à appliquer les obligations, sous peine de lourdes sanctions. Maintenant le RGPD dit « voilà comment il faut faire les choses proprement ». Le RGPD va forcer les entreprises à être éthiques.

« Merci Monsieur Mattatia d’avoir échangé avec nous sur ces thématiques passionnantes ! »

Retrouvez aux éditions Eyrolles RGPD et Droit des Données personnelles de Fabrice Mattatia

19 x 23cm – 248 pages – 35€

978-2-212-67564-1

Valentine
Valentine

Arrivée sur terre il y a quelques lustres, Valentine entre aujourd’hui dans le métier de la communication. C’est non sans intrépidité qu’elle a intégré la Sorbonne en philosophie après une classe préparatoire littéraire (A/L). Après un mémoire sur la place de l’éthique dans la société actuelle à partir d’Aristote, Valentine poursuit son cursus en éthique appliquée. Autrement dit elle s’intéresse aux actions des entreprises et des institutions publiques, proposant alors des solutions de conseil afin d’accompagner leurs prises de décision. Au coeur de l’économie numérique, les rouages de la communication autour de l’innovation la passionnent. C’est pour cela que Valentine a rejoint l’équipe de Tikibuzz, une agence de communication et de marketing, en 2018. Aujourd’hui, elle a le plaisir de s’aventurer sur le terrain de l’éditique et de la gestion de la communication client, afin de vous proposer chers lecteurs, des reportages et des témoignages pour votre média DOCaufutur.

Written by Valentine

Arrivée sur terre il y a quelques lustres, Valentine entre aujourd’hui dans le métier de la communication.
C’est non sans intrépidité qu’elle a intégré la Sorbonne en philosophie après une classe préparatoire littéraire (A/L). Après un mémoire sur la place de l’éthique dans la société actuelle à partir d’Aristote, Valentine poursuit son cursus en éthique appliquée.
Autrement dit elle s’intéresse aux actions des entreprises et des institutions publiques, proposant alors des solutions de conseil afin d’accompagner leurs prises de décision. Au coeur de l’économie numérique, les rouages de la communication autour de l’innovation la passionnent.
C’est pour cela que Valentine a rejoint l’équipe de Tikibuzz, une agence de communication et de marketing, en 2018.
Aujourd’hui, elle a le plaisir de s’aventurer sur le terrain de l’éditique et de la gestion de la communication client, afin de vous proposer chers lecteurs, des reportages et des témoignages pour votre média DOCaufutur.