La série Search Talking Head de Laurence Simons se poursuit avec une interview d’Anne-Marie Pecoraro, associée chez UGGC Avocats (et fondatrice de A Turquoise, un cabinet d’avocats qui vient de fusionner avec UGGC).
Anne-Marie est une avocate française spécialisée dans les affaires internationales liées à la propriété intellectuelle, aux nouvelles technologies, aux médias et au droit du divertissement.
Laurent Pompanon, consultant principal chez Laurence Simons Search, s’entretient avec Anne-Marie, qui parle plusieurs langues, pour avoir un aperçu de sa remarquable carrière, des transferts de données après le Brexit et des meilleures pratiques en matière de traitement des données.
Laurent Pompanon (LP) : Bonjour Anne-Marie, merci d’avoir répondu à nos questions aujourd’hui. Pouvez-vous résumer votre parcours professionnel jusqu’à présent pour nos lecteurs ?
Anne-Marie Pecoraro (AMP) : Je suis passionnée par le droit économique, le droit de l’audiovisuel et la technologie. Par chance et par affinité, j’ai eu l’occasion tout au long de ma carrière de défendre des propriétaires et des affaires de propriété intellectuelle. J’ai travaillé à la SACD, d’abord pour des productions audiovisuelles, puis pour Warner Music, et une fois inscrite au barreau, j’ai défendu des projets audiovisuels et musicaux. J’ai également représenté des créateurs très célèbres, notamment pour la protection de leurs marques et licences.
J’aime écouter et soutenir les porteurs de projets créatifs, structurer des stratégies pour leur permettre de se développer. Les années 90 et 2000 ont été l’époque des révolutions technologiques. J’ai donc ancré ma pratique dans la technologie, la culture, l’expertise, et l’ai intégrée à l’innovation. C’est aussi ce que nous devons aux générations futures que nous aidons à former : leur fournir des outils pour comprendre l’avenir, grâce à des connaissances solides et un souci de solutions éthiques. Le droit de la protection des données a connu des évolutions fondamentales, des tournants juridiques passionnants, et j’aide mes clients à l’intégrer et à en rechercher les effets positifs. Il y a eu la révolution GDPR qui a apporté un énorme plus à l’Union européenne, en établissant une norme mondiale commune et en donnant l’exemple au monde, et j’ai accompagné mes clients à travers toutes les difficultés et les opportunités. La compréhension des secteurs de mes clients, par exemple la technologie, les médias, la culture, le luxe, le style de vie, les organisations philanthropiques ou syndicales, etc., a permis à mon équipe de développer un style dynamique et stratégique en matière de propriété intellectuelle, de défense des marques, de droit des médias et de la communication, de droit technologique et de droit économique.
LP : Vous avez récemment rejoint le cabinet UGGC, qu’est-ce qui a motivé ce choix et quelles sont vos ambitions ?
AP : Après avoir rencontré les excellentes équipes d’avocats d’UGGC, il était évident qu’elles offraient le profil des avocats de demain, prêts à surmonter les transformations du marché avec une expertise pointue. Je partage avec l’UGGC de nombreuses valeurs, dont une vision internationale, une vision complémentaire de la diversité, ainsi qu’une force et une volonté de construire l’avenir ensemble.
LP : Vous êtes très active, entre autres, sur les questions de GDPR. Quels sont les principaux problèmes auxquels vos clients sont confrontés ?
AP : Ayant traité pendant des années avec des clients des questions liées à la protection et au traitement des données personnelles, je me suis consacrée à offrir une expertise de qualité, renforcée par ma fusion avec UGGC où mes partenaires, Corinne Khayat et Elisabeth Logeais, ont une solide expérience dans ce domaine. Sites de vente, services, jeux, associations caritatives, groupes étrangers, pour tous types d’opérateurs, nous aidons nos clients à obtenir une meilleure conformité par la maîtrise de leurs processus.
Nous apportons à nos clients une expertise reconnue en matière de technologies de l’information, de méthodes de travail et une éthique conforme à la GDPR.
Nos méthodes de travail efficaces s’inscrivent dans une stratégie de communication globale pour le meilleur intérêt des clients. En effet, la GDPR n’est pas toujours une contrainte, mais aussi un argument pour donner de la valeur, enrichir une organisation, lorsqu’elle parvient à se prévaloir des efforts consentis, face à ses concurrents. Nous avons toujours encouragé les liens internationaux en nouant des relations privilégiées avec des correspondants européens, américains et asiatiques. La prise en compte de la conformité comme un avantage dans la concurrence internationale donne une vision enrichie des atouts de la GDPR.
L’entrée en vigueur du Règlement général sur la protection des données (le « RGPD » ou la « GDPR » précédemment évoquée) le 25 mai 2018 a soulevé des défis économiques, éthiques et sociétaux considérables. Nous travaillons en partenariat avec des experts (tels que les délégués à la protection des données « DPD » de DPO-CSE EXPERTISE, ou les experts en cybersécurité de l’EBRC) et nous utilisons des logiciels et des techniques juridiques appropriés pour soutenir le GDPR dans plusieurs pays.
Tous les clients sont concernés par les questions relatives aux données personnelles – des données personnelles qu’ils doivent traiter, collecter ou transférer conformément à la GDPR. La première approche de la conformité prend souvent la forme d’audits, appelés « audits GDPR », auxquels notre cabinet travaille en équipe. Il s’agit également d’un travail de formation – y compris pour les employés des clients – car il doit être développé avec une bonne connaissance de la GDPR et inclure des idées innovantes et pratiques pour adapter les recommandations à la structure et à son marché – fondations, entreprises, cabinets de conseil, etc.
Nous avons également eu l’occasion de travailler avec de nombreuses organisations, notamment des écoles, des autorités de transport et des instituts de santé, en nous concentrant sur les données sanitaires, en termes d’audits et de conformité avec la GDPR.
Enfin, comme il s’agit d’un règlement récent – qui évolue et manque parfois de clarté – on me pose presque quotidiennement des questions sur toutes sortes de sujets liés au GDPR : méthodes de collecte des données, protection des données sensibles, y compris médicales, preuves de la collecte du consentement, et en particulier transfert de données en dehors de l’UE. En effet, un premier revers avait bouleversé le paysage INTERNATIONAL USA-UE avec l’annulation de la sphère de sécurité par la CJUE en 2015, si bien qu’un autre accord avait été mis en place en juillet 2016, dénommé Privacy Shield. Une fois de plus, ce dispositif a été annulé, ce qui a conduit les clients à prendre des mesures d’urgence !
LS : Vous venez de mentionner les problèmes de transferts de données avec l’étranger, que remet en cause la récente invalidation du bouclier de protection de la vie privée par la CJUE (Cour de justice de l’Union européenne) ? Qui est concerné et que va-t-il se passer dans les mois à venir ?
AP : Le GDPR prévoit qu’un transfert de données en dehors de l’UE ne peut être effectué que si
i) des garanties appropriées sont mises en place
(ii) les personnes concernées disposent de droits effectivement exécutoires (article 46, paragraphe 1 et paragraphe 2, sous c), de la GDPR).
Le bouclier de protection de la vie privée, ou « bouclier de protection des données » en France, fait partie d’un accord conclu le 12 juillet 2016 par la Commission de l’Union européenne, le ministère américain du commerce et l’administration suisse. Il visait à mettre en place un système de protection des données personnelles transférées de l’UE et de la Suisse vers les États-Unis.
Comme mentionné précédemment, cet accord a remplacé le précédent dispositif Safe Harbour en France, qui avait déjà été annulé en 2015 par la CJUE lors de la décision « Shrems 1 » !
La CJUE a également annulé le dispositif de protection de la vie privée le 16 juillet par la décision « Shrems 2 ». Cette situation n’est pas nouvelle mais peut être difficile à surmonter. La Cour a considéré, pour de multiples raisons, que le bouclier de protection de la vie privée ne fournissait pas de garanties suffisantes de protection.
Sont notamment concernés tous les opérateurs auxquels la GDPR s’applique, qui peuvent faire circuler des données personnelles en dehors de l’UE et aux États-Unis (par exemple sur des serveurs situés sur le sol américain).
Actuellement, ces opérateurs ne disposent pas d’un certain cadre juridique pour effectuer ces transferts. Ils doivent donc s’assurer transfert par transfert de respecter toutes les conditions de sécurité fixées par la GDPR.
Le Comité européen de protection des données (CEPD), qui est une sorte de « CNIL européenne » qui supervise l’action des autorités européennes en matière de données personnelles, a publié le 11 novembre des lignes directrices pour aider les entreprises à y voir plus clair. Ils ont détaillé un guide en 6 étapes pour garantir la légalité du transfert à l’étranger :
1- Identifier les transferts.
2 – Identifier les outils de sécurité pour les sécuriser.
3- Analyser leur efficacité.
4 – Adopter des mesures supplémentaires.
5 – Les intégrer.
6 – Réévaluer fréquemment la sécurité des transferts.
Les opérateurs les plus prudents seront assistés par des professionnels de l’informatique tels que notre cabinet pour les aider dans cette démarche.
LS : Quel impact pensez-vous que Brexit pourrait avoir sur les questions de transfert de données entre l’Union européenne et le Royaume-Uni ?
AP : Le Royaume-Uni s’est retiré de l’Union européenne le 1er janvier 2020, mais l’accord de retrait (article 71) prévoit que les dispositions du GDPR y restent applicables jusqu’au 31 décembre 2020.
Jusqu’à cette date, Brexit n’a donc pas encore eu d’impact sur les questions de transfert de données entre l’UE et le Royaume-Uni. Le Royaume-Uni est encore une partie fictive de l’Union européenne en ce qui concerne la protection des données personnelles. Dans tous les cas, après cette période de transition jusqu’au 1er janvier 2021, le gouvernement britannique a annoncé sa décision de maintenir la GDPR dans l’ordre juridique anglais. *
D’une part, le Royaume-Uni étant un système dit dualiste, il a essentiellement intégré la GDPR dans son propre ordre juridique en 2018, en adoptant une loi sur la protection des données qui reprend toutes les dispositions de la GDPR (Data Protection Act). Ainsi, le Royaume-Uni dispose déjà d’un certain niveau de sécurité. D’autre part, il n’est pas exclu que dans l’accord qui sera conclu à la fin de l’année, il soit prévu que, par exception au Brexit, la GDPR continue de fonctionner au Royaume-Uni.
Mais si aucun accord n’est réellement conclu – c’est l’hypothèse du « no deal » – des garanties devront être fournies, soit en recherchant un niveau de protection équivalent, soit en concluant une sorte de » bouclier de confidentialité » entre l’UE et le Royaume-Uni, en espérant qu’il ne sera pas annulé, par la mise en œuvre par chaque opérateur, transfert par transfert, de mesures de sécurité. Le Comité européen de protection des données (CEPD), déjà mentionné – a anticipé cette situation en publiant dès 2019 une note sur les transferts de données vers le Royaume-Uni en cas de non accord. Cette note est disponible sur Internet. En résumé, elle prend les mêmes mesures que celles que les opérateurs doivent appliquer lorsqu’ils souhaitent effectuer des transferts vers les États-Unis maintenant qu’il n’y a plus de bouclier de protection de la vie privée : il est nécessaire d’identifier les traitements et de les sécuriser. Là encore, un opérateur prudent qui souhaite transférer des données au Royaume-Uni après le 1er janvier 2021 doit contacter un professionnel.
LP : Les questions de cybersécurité sont une préoccupation majeure pour de nombreuses entreprises. Quel est votre rôle en tant qu’avocat dans ce contexte, avec qui travaillez-vous et sur quelles questions ?
AP : Les questions de cybersécurité sont en effet au cœur des préoccupations de mes clients et une priorité pour le GDPR. Mon rôle en tant qu’avocat est de protéger mes clients par rapport aux faits :
- que mes clients disposent de technologies en amont, encadrées par des contrats et des processus solides, qui leur permettent de protéger à la fois leur patrimoine informationnel et celui des personnes dont ils traitent les données.
- que mes clients puissent poursuivre leur activité même après avoir constaté une atteinte à leur cybersécurité, qu’elle soit intentionnelle (cyberattaque) ou non. Dans ce cas, mon travail peut consister, de manière non limitative, à accompagner les plaintes pénales, à faire un rapport au titre du code de procédure pénale, à mettre en œuvre les procédures d’alerte ou à encadrer les responsabilités.
Par ailleurs, s’agissant de questions essentiellement techniques, nous travaillons depuis 2019 en partenariat avec le DPD CSE EXPERTISE (GIE de consultants en protection des données intégrant techniciens et DPD) ainsi qu’avec le prestataire de services spécialisés en cybersécurité EBRC. Ensemble, nous proposons une offre à 360 degrés et pouvons répondre à toutes les problématiques rencontrées par nos clients : ASSISTER, SUPPORTER et CONSEILLER le DPD interne ainsi que les équipes techniques.
Avec DPO CSE EXPERTISE, nous soutenons nos clients en offrant des services de cybersécurité externalisés aux PME, aux ETI, GE, CSE, aux organisations à but non lucratif et aux syndicats professionnels. Nous avons une expérience du terrain combinant notre expertise juridique (y compris internationale) ainsi que les nouveaux outils technologiques. Nous assurons la partie cybersécurité par des audits, des tests de vulnérabilité (web, serveurs, réseaux, postes de travail, services numériques, etc.) et d’intégrité ainsi que des simulations d’attaques. Nous fournissons des conseils et des recommandations sur les mécanismes d’authentification, les systèmes de journalisation et la mise en œuvre de TLS25 pour un site web et les normes ISO/CIS 27000. Nous accompagnons nos clients dans toutes les étapes en soutenant les projets (MOA) et surtout en les maintenant conformes grâce à un soutien à long terme. (2)
Enfin, je voudrais conclure dans une perspective plus globale, le transfert de données de l’Europe vers des serveurs situés aux États-Unis renvoie à l’épineuse question de la souveraineté technologique.
Nous constatons un glissement, de la souveraineté des États, qui pourrait être notre modèle historique, vers une souveraineté technologique des entreprises numériques les plus populaires ; quand on sait que les GAFA ont un chiffre d’affaires supérieur au PIB de la France, et quand on connaît la volonté de leurs dirigeants de cimenter leurs positions dans la sphère internationale d’une manière qui concurrence les États, il faut être conscient de la très forte influence de ces géants sur les normes adoptées.
Pourquoi la France, et plus généralement l’Europe, auraient-elles plus de difficultés à créer des plates-formes de champions dont les Américains ont la prérogative ?
Les avocats encouragent toutes les start-ups françaises, toutes les « Unicornes » potentielles, afin que la France, en rétablissant sa souveraineté technologique, rétablisse aussi son potentiel de développement et de croissance.
Enfin, le mardi 15 décembre 2020, la Commission européenne a publié les projets de règlement sur les services numériques (plus connu sous le nom de Digital Services Act) et les marchés numériques (plus connu sous le nom de Digital Markets Act).
Ces deux projets de réglementation, qui doivent entrer en vigueur d’ici 2022, visent à proposer un ensemble complet de nouvelles règles qui s’appliqueront à tous les services numériques, y compris les réseaux sociaux, les places de marché en ligne et tout type de plateforme en ligne active dans l’Union européenne (ci-après « UE »).
Il s’agit d’un tournant très important dans l’Union européenne, susceptible d’avoir un impact sur toutes les organisations, toutes les activités. Cette réglementation pourrait représenter un nouveau coup de foudre, comme l’a été la GDPR, et nos équipes d’avocats spécialisés dans le droit numérique sont prêts à aider les clients pour toute question juridique qu’ils pourraient rencontrer dans ce domaine,
1. EDPD, Information note on data transfers under the GDPR in the event of a no-deal Brexit, Adopté le 12 février 2019, Mis à jour le 4 octobre 2019, sur : https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12-infonote-nodeal-brexit-october_en.pdf.
2. Démarrage d’entreprise évalué à plus d’un milliard de dollars.
