Directrice du cabinet d'avocats ALTIJ, en charge du Pôle Droit des affaires et des Nouvelles Technologies, France Charruyer enseigne également les techniques contractuelles et la propriété intellectuelle à l’université de Paris Dauphine, à l’Université des Sciences sociales de Toulouse ainsi qu'à la Toulouse Business School.
Elle explique, dans cette interview pour Doctrine, l'impact de la règlementation en matière de protection des données sur le métier d'avocat.

1.     Pouvez-vous présenter votre parcours ?

Avocat en droit des affaires et des nouvelles technologies, j’ai longtemps exercé le métier d’avocat contentieux. Je trouve que cette double vision est importante car elle me permet d’apporter la vision contentieuse et stratégique nécessaire à la mise en place de solutions de conformité, à la réalisation d’audits et lors de négociations contractuelles. J’ai aussi fait des études en Angleterre en éthique médicale – sujet qui est aujourd’hui de plus en plus pertinent dans le domaine de la protection des données.

J’assure la direction de la société d’avocats Altij depuis 2002, en charge de notre pôle IP / IT / Data. Nous accompagnons notamment nos clients dans l’exploitation, la valorisation et la défense de leurs actifs immatériels. Aujourd’hui, les questions clés que mes clients me posent sont autour de la valorisation et l’exploitation de la donnée : A qui appartient-elle ? Comment sécuriser le patrimoine informationnel de l’organisme ? Qui peut intervenir sur mes bases de données ? Quid du secret des affaires ? Sur ces points, nous accompagnons souvent nos clients en tant que DPO externalisé, afin de pouvoir assurer une assistance à la conformité en continu.

En complément de mon métier d’avocat et de DPO, j’ai depuis plusieurs années une activité d’enseignement en droit du numérique et en propriété intellectuelle. Je suis notamment chargée de la responsabilité pédagogique du programme de D.U RGPD DPO de l’Université Paris Dauphine pour Paris, la Tunisie et le Maroc, Chargée d’enseignement sur le Master II DJCE et Master II Propriété Intellectuelle à l’Université Toulouse 1 Capitole, et Chargée d’enseignement au Toulouse Business School sur la gouvernance des données dans l’entreprise et les cyber risques.

Sur le plan personnel, j’ajoute que je suis originaire du Pacifique Sud, même si cela fait très longtemps que je vis et je travaille en France Métropolitaine ! Je pense qu’il est important de garder une vision internationale du droit de la protection des données car l’un des aspects les plus intéressants du RGPD est son impact extraterritorial et les enjeux de souveraineté associés.


2. En tant que directrice du DU DPO de l’université Dauphine, voyez-vous une évolution dans l’enseignement da la protection des données personnelles ?

Oui. La protection des données étant un droit en pleine évolution, l’enseignement de ce droit doit forcément suivre cette évolution.

Tout d’abord, il y a aujourd’hui beaucoup plus d’intérêt pour le sujet du côté des organismes, tant dans le secteur public que privé. Ces derniers reconnaissent que la sensibilisation fait partie des briques de la conformité et souhaitent alors assurer la formation de leurs équipes. Pour cette raison, l’enseignement du sujet doit également être pratique et prendre en compte les défis réels auxquels les sociétés et les collectivités doivent faire face : comment collecter un consentement opt-in valable, comment assurer la transparence de l’information auprès de ses clients, de ses collaborateurs ou de ses administrés, comment effectuer un transfert de données vers un pays tiers ?

En même temps, il y a ce nouveau métier de DPO qui présente un réel besoin de formation spécifique. La CNIL a reconnu ce fait dans son nouveau référentiel de certification du DPO, lequel pose comme critère 35 heures de formation en matière de protection des données personnelles. Il a donc été nécessaire de formuler des programmes de formation qui sont à la fois juridiques et techniques, afin notamment de prendre en compte les exigences du référentiel et les évolutions de la réglementation.

Les acteurs de la formation sont alors obligés de répondre à ces nouveaux besoins et de proposer une offre qui correspond aux attentes des étudiants. C’est la raison pour laquelle nous travaillons avec l’Université Paris Dauphine sur le développement d’un programme de formation à la fois pratique et rigoureux, qui vise à préparer les DPO aux vrais défis de la « compliance ».

Dans ce cadre, nous tenons à former des DPO avocats, compte tenu des qualités professionnelles que les membres de notre profession peuvent apporter au métier de DPO.


3. Quelles sont les difficultés rencontrées par un avocat en matière de protection des données personnelles ?

Un défi crucial pour l’avocat est de comprendre les enjeux et les objectifs stratégiques du client par rapport à ses traitements de données personnelles. Il ne suffit pas d’imposer des méthodes rigides de conformité qui seront vues comme une contrainte par les opérationnels. Il faut que la conformité ait un sens pour l’organisme dans un dynamique d’optimisation et de valorisation de l’actif numérique. Tout simplement, la conformité au RGPD devrait être perçue comme un avantage concurrentiel, lié à la confiance du consommateur ou de l’administré.

Une deuxième difficulté est la nature transversale, à la fois juridique et technique, de la conformité au RGPD. Il faut faire attention à ne pas dépasser les bornes de ses compétences : nous ne sommes pas ingénieurs informatiques et ne pouvons pas auditer la sécurité des systèmes d’information du client. Par conséquent, il est essentiel de travailler avec des partenaires techniques de confiance et de bien délimiter les champs d’intervention de chacun, tout en gardant une vision d’ensemble.

Dans le même temps, l’accompagnement vers la conformité demande des prestations juridiques qui doivent être accomplies par un avocat. La Cour de Cassation a récemment confirmé la condamnation d’un consultant à rembourser des honoraires relatifs à des prestations juridiques non-autorisées : une décision qui me semble très pertinente dans le marché de la conformité RGPD où des conseils de nature juridique sont souvent dispensés par des consultants, alors que ceux-ci ne peuvent que fournir une information juridique.

Et puis, le droit de la protection des données étant un droit en construction, avec des incidences majeures européennes et internationales, suivre son développement représente un défi pour le spécialiste. Le RGPD a bouleversé les pratiques, en déclenchant une vague de législation nationale, de nouvelles recommandations de la CNIL et de contentieux partout en Europe. Actuellement, nous attendons toujours le nouveau Règlement e-Privacy, qui est censé compléter le RGPD sur divers sujets importants, et se profile également le développement d’une nouvelle réglementation européenne sur l’intelligence artificielle.

De plus, d’autres développements géopolitiques sont susceptibles d’impacter les pratiques de nos clients en matière de protection des données. Par exemple, en cas de Brexit sans accord de retrait, les entreprises françaises qui font appel à des data centers au Royaume-Uni seront pleinement impactées. Il faut donc être modeste en tant que praticien et essayer d’aider nos clients à répondre à ces développements, tout en conservant une vision stratégique et pragmatique.


4. Quel est l’impact du RGPD sur l’organisation d’un cabinet d’avocat ?

Le RGPD n’épargne pas le cabinet d’avocats, qui doit se mettre en conformité comme tout autre responsable de traitement. Ainsi, nous sommes obligés de cartographier nos traitements de données personnelles, de respecter nos obligations d’information auprès des personnes concernées, de tenir un registre de nos traitements non-occasionnels, de demander des garanties auprès de nos sous-traitants… bref, de procéder à une mise en conformité tout à fait classique.

En tant que président du cabinet, je vis donc directement au quotidien l’expérience du chef d’entreprise en plein projet de conformité.

Bien entendu, comme pour toute entreprise, il y a des spécificités sectorielles à prendre en compte. Par exemple, certains cabinets peuvent être amenés à traiter des données personnelles très sensibles : je pense notamment au droit de la famille ou au droit pénal. De plus, les données personnelles que nous traitons peuvent concerner des personnes qui ne sont pas clientes du cabinet : quid par exemple des données personnelles des autres parties à un litige ? Comment assurer la transparence nécessaire auprès de ces personnes au titre du RGPD, sans compromettre notre devoir déontologique de secret professionnel ? Ce sont des vraies questions auxquelles il faut trouver des solutions pratiques.

Par ailleurs, le statut de collaborateur libéral crée des questions juridiques intéressantes autour de la qualification du cabinet. Par exemple, lorsque le cabinet propose des moyens informatiques au collaborateur pour le traitement de ses dossiers personnels, il paraît être sous-traitant au sens du RGPD. Le cabinet est alors obligé de présenter au collaborateur des garanties de conformité via un accord spécifique et, en théorie, le collaborateur pourrait alors demander d’auditer le cabinet. Les cabinets doivent donc bien réfléchir à la nature, l’étendue et l’encadrement des outils et systèmes informatiques qu’ils souhaitent mettre à disposition de leurs collaborateurs dans ce contexte. Et cela complique la rédaction de sa charte informatique.

5. Quelles peuvent être les solutions apportées par les legaltechs ?

Nous travaillons depuis longtemps avec des partenaires informatiques de confiance sur le développement d’outils innovants, tels que notre chatbot RGPD : robot conversationnel doté d’une base de 300 questions que nous avons développé avec le concepteur d’intelligence artificielle Inbenta.

Nous avons également une legaltech, la société QUID.IA, avec laquelle nous travaillons sur différents projets de compliance. Actuellement, nos deux sociétés sont en phase de déploiement d’une plateforme de suivi de la mise en conformité au RGPD. Dans cette optique, notre connaissance du métier d’avocat nous permet d’intervenir en tant que DPO de certains cabinets et les faire bénéficier des outils que nous avons développés, qui peuvent être configurés spécifiquement pour les acteurs du secteur juridique.

Je trouve que de telles solutions représentent une aide précieuse pour les avocats et les DPO, qui ont besoin de supports numériques à hauteur du défi que pose la compliance.

Je suis cependant convaincue que l’intervention directe de l’avocat restera essentielle du point de vue du client, qui aura toujours besoin de sa vision stratégique et de sa capacité pédagogique. Les progiciels juridiques sont des outils, ni plus ni moins, et il faut savoir les piloter. Pour cette raison, elles ne remplaceront pas l’humain.

Essayez Doctrine ici.