RGPD : Et si on le lisait ?

Au premier abord, le Carpe Diem a tout d’un petit bar tranquille dans le coin de Châtelet. La terrasse accueille les clients qui veulent s’offrir un apéro au soleil en sortant du bureau, mais si vous avez eu le malheur de vous aventurer dans la cave le lundi soir, vous avez pu assister à une scène étrange : une dizaine de personnes assises sagement autour de quelques bières, lisant à haute voix et à tour de rôle des extraits du fameux Règlement General sur la Protection des Données. Ce texte européen est entré en vigueur au mois de mai et donne des sueurs froides aux PME comme aux GAFA.

 

« Lire le texte, en bonne compagnie »

C’est dans ce bar que les membres du RGPD Book Club ont trouvé refuge depuis novembre 2017. Chaque premier lundi du mois, la dizaine de membres du groupe s’est réunie afin de se pencher en détail sur le texte. Juristes, développeurs, chercheurs et militants, le petit groupe emmené par Suzanne Vergnolle s’est lancé le défi de lire et de commenter les quelques 80 pages du règlement européen. « L’idée initiale, c’est de lire le texte intégralement et en bonne compagnie » explique Suzanne Vergnolle, juriste spécialisée sur la question des données personnelles. « Pour la plupart, les gens qui sont venus au Book Club allaient bientôt être confrontés au RGPD, que ça soit pour leur travail, leur vie personnelle ou dans le cadre de leurs activités associatives. Se fixer un rendez-vous pour le lire ensemble permettait de créer une émulation de groupe. »

Et l’ambiance est effectivement studieuse dans la cave du Carpe Diem : ce lundi de juin, une dizaine de participants sont présents. La séance commence par un rapide tour de l’actualité, avant d’attaquer le vif du sujet. Les membres lisent le texte, article par article, puis commentent et expliquent leur sens en apportant chacun son interprétation. Les articles étudiés portent sur les autorités de contrôle national, rassemblées au sein du comité de protection des données, nouvelle forme du G29 instituée par le RGPD. On échange librement sur les différentes missions attribuées à ce comité, ainsi que sur la gouvernance de l’organisation instituée par le RGPD. À tour de rôle, les participants s’expriment, soit pour clarifier un terme, poser une question ou souligner une possible faille dans l’interprétation.

Un exemple criant soulevé par les membres du groupe au cours de leur lecture : le RGPD promettait à l’origine de proposer un cadre législatif unique pour l’ensemble des pays européens. Mais dans de nombreux cas de figure, le texte laisse la compétence aux Etats pour décider de la marche à suivre. « Le règlement laisse certaines marges de manœuvres aux États membres, qui peuvent adopter des dispositions plus précises : cela crée une forme d’insécurité juridique qui peut nuire à la cohérence lors de l’application du Règlement » résume Suzanne Vergnolle. Une lecture studieuse, mais qui sait rester critique à l’égard du texte.

Une méthode ouverte

On pourrait ranger l’initiative comme une simple lubie de juriste, mais comme le rappelle Suzanne Vergnolle, la diversité des profils est au cœur même du projet « L’objectif reste tout de même d’avoir des avis de personnes avec des parcours et des formations différentes. Le RGPD est un texte qui présente des aspects techniques que les juristes purs et durs ne maîtrisent pas complètement : j’ai appris beaucoup de choses lors de la lecture des volets liés aux certifications par exemple, grâce aux commentaires de membres qui avaient été directement confrontés à ces aspects. » Le RGPD est un texte qui se prête particulièrement bien à l’exercice du fait de son sujet, la protection des données, qui touche des domaines liés aussi bien à l’informatique qu’au design et à l’administratif. Mais la méthode pourrait être décliné à d’autres textes n’ayant rien à voir avec les nouvelles technologies, suggère Suzanne Vergnolle, qui évoque par exemple la récente loi contre les violences sexuelles et sexistes.

Le texte est complexe et demande une analyse sérieuse, mais si vous l’abordez avec le bon état d’esprit, c’est tout à fait compréhensible

Gianfranco Cecconi— Bénévole et consultant chez Capgemini 

Mais l’idée n’est pas née dans une cave parisienne. Comme l’explique Suzanne Vergnolle, c’est d’un article de blog publié par Gianfranco Cecconi qu’est venue l’idée. Comme il l’explique à ZDNet.fr, l’idée d’un RGPD Book Club est venue répondre à une problématique concrète : la nécessité de s’y conformer. « À l’époque, je faisais du bénévolat pour une association qui s’appelait Datakind et qui, en tant qu’association, traitait des données personnelles, de ses membres ou de participants ponctuels » explique Cecconi. « Notre budget était particulièrement restreint et on ne pouvait pas s’offrir les services d’un juriste. »

« Notre solution a donc été de réunir plusieurs volontaires afin de lire le texte et d’en parler entre nous » poursuit-il. Avec trois autres volontaires de Datakind, ils décident donc de lire le texte afin de comprendre exactement quels changements sont nécessaires afin de parvenir à se mettre en conformité. « Le projet initial était une initiative interne au sein de Datakind. Mais par habitude, j’ai tendance à concevoir des projets qui peuvent être ouverts. J’ai donc choisi d’expliquer le concept dans un post de blog » explique Cecconi.

Si l’idée peut faire sourire, elle cherche à s’inscrire dans une dynamique de réappropriation de la loi par les citoyens, en s’évitant le passage par des intermédiaires parfois douteux. Et en profite pour tordre le cou à certains mythes qui entourent le texte : « Je pense que beaucoup de gens ont profité du RGPD et de l’inquiétude qu’il suscitait pour vendre leurs services. C’est dommage. Le texte est complexe et demande une analyse sérieuse, mais si vous l’abordez avec le bon état d’esprit, c’est tout à fait compréhensible » souligne Gianfranco Cecconi.

Le RGPD, et au-delà

Les deux groupes peuvent se féliciter d’avoir atteint leurs objectifs. Gianfranco Cecconi explique ainsi que son groupe est parvenu à boucler la lecture du texte deux mois avant l’entrée en application, ce qui a laissé le temps aux membres du club d’implémenter les changements nécessaires. Du côté parisien, le groupe de Suzanne Vergnolle a célébré le succès de l’entreprise en donnant deux conférences visant à présenter la démarche à Passage en Seine et à Toulouse, à l’occasion du THSF. L’objectif ici n’était pas directement d’accompagner la mise en conformité, mais plutôt de « toucher des gens qui auraient envie de lire le texte, mais qui au final ne le feraient pas seuls » explique Suzanne Vergnolle.

On imagine assez mal la méthode s’imposer dans les grandes entreprises du CAC40, mais elle pourrait donner des idées à des TPE/PME ou de petites organisations souvent désemparées face aux nouvelles exigences du texte et pouvant difficilement s’offrir les services d’un juriste spécialisé. « Le texte a ses défauts et certaines promesses n’ont pas été tenues, mais le lire vraiment permet de se rendre compte que les obligations ne sont pas si nouvelles que ça » rappelle Suzanne Vergnolle. Le RGPD reprend en effet de nombreuses obligations qui existaient déjà dans la loi française Informatique et Libertés.

Si le RGPD Book Club a officiellement accompli la tâche qu’il s’était fixé, les membres envisagent néanmoins de prolonger l’expérience de manière ponctuelle afin de commenter les futures décisions de justice venant préciser l’application du règlement. Et Suzanne Vergnolle évoque la possibilité de créer un GDPR Fight Club, une association qui viendrait permettre aux membres d’exercer les nouveaux droits mis en place par le RGPD. Une simple idée en l’air pour le moment, mais après tout, le RGPD Book Club a commencé comme ça.

Go to Source


bouton-devis