Passer au playerPasser au contenu principal
  • il y a 3 heures
Mercredi 8 juillet 2026, retrouvez Marine Giovannangeli (Directeur Data Privacy IA Affaires Transverses, Servier Monde) et Jérôme De Mercey (Cofondateur, Dastra) dans LEX INSIDE, une émission présentée par Arnaud Dumourier.

Catégorie

🗞
News
Transcription
00:07Toujours au sommet du droit en entreprise, on va parler RGPD, la conformité à l'heure de la rationalisation avec
00:16deux experts qui sont à mes côtés.
00:20Jérôme Demerset, bonjour.
00:22Bonjour.
00:23Vous êtes cofondateur de Dastra et également à mes côtés Marine Giovannangeli.
00:28Bonjour Marine.
00:28Bonjour.
00:29Vous êtes directeur Data Privacy, IA et Affaires transverses chez Servier Monde.
00:34On va commencer avec vous Jérôme, on va parler de l'omnibus numérique, plusieurs textes importants, de quoi s'agit
00:44-il ?
00:45Effectivement, c'est plusieurs textes européens, des propositions de règlement dans un objectif de simplification de la réglementation et en
00:53particulier deux textes.
00:54Vous avez le Digital Omnibus qui vise à simplifier le RGPD et le Data Act et vous avez le Digital
01:02Omnibus on AI qui est passé récemment et qui vise à lui décaler certaines obligations sur la réglementation sur l
01:10'IA européenne.
01:10Alors Marine, on va poursuivre avec vous dans un environnement changeant avec des degrés de conformité toujours importants.
01:19Quels sont les risques pour les entreprises ?
01:23Alors les risques, c'est-à-dire de...
01:25Les risques en matière de protection des données, de conformité, comment éviter les fuites de données, des failles et se
01:33prémunir contre tout ça ?
01:35Alors sur les fuites de données, malheureusement, on ne pourra pas faire...
01:38Enfin, ce ne sera pas la conformité réglementaire qui va résoudre le problème.
01:43Ce qu'on peut faire à l'heure actuelle, c'est en amont préparer le terrain, effectivement se rendre conforme,
01:50encadrer par exemple ces relations avec les tiers.
01:52Ce que souvent, en tout cas, ça arrive aussi au niveau des tiers que les failles de sécurité se situent
01:58à ce niveau-là.
01:59D'où l'intérêt d'avoir des clauses de protection des données, d'avoir des clauses de coopération en matière
02:03de violation de données avec nos tiers.
02:05Pour le moment où ça surviendrait, avoir le bon niveau de coopération, ce qui n'est pas forcément la réalité.
02:13Donc effectivement, en matière de risque, la conformité, c'est une aide à la prévention du risque.
02:20Mais ça ne résout pas tous les risques.
02:22Et si on revient sur la question des violations de données, la question, ce n'est pas est-ce que
02:25ça va nous arriver, c'est la question, c'est quand ça va nous arriver.
02:29Alors justement, ça c'est important, quand ça va arriver et Jérôme, comment on peut appréhender, comment les entreprises appréhendent
02:36ces questions ?
02:36Est-ce qu'elles sont vigilantes par rapport à ça ?
02:38De plus en plus, parce que comme on a de plus en plus de violations de données dans la nature,
02:44forcément ça parle.
02:45Ça parle à l'oreille des entreprises, des dirigeants.
02:48Et donc on met en place de la gouvernance, on met en place des mesures de sécurisation de nos processus.
02:56Et puis on prend de plus en plus conscience que ce sujet de la protection des données, il est important
03:00dans nos organisations.
03:02Donc aujourd'hui, comment on va mettre, comment on va faire ?
03:06Eh bien, on va tout simplement mettre un peu plus de ressources sur ce sujet.
03:10On va essayer de mieux comprendre comment est-ce que les données sont gérées dans notre organisation.
03:16On va essayer de les maîtriser, on va essayer de les piloter et essayer de savoir où est-ce qu
03:21'elles sont.
03:22Et où est-ce qu'effectivement, on a des zones à risque qu'il faut couvrir.
03:26Voilà, il y a une approche très importante dans le RGPD qui est maintenue toujours, même avec la simplification de
03:32la réglementation.
03:33C'est l'approche par les risques.
03:35C'est finalement, quels sont les traitements de données, les usages de mes données à caractère personnel dans mon organisation
03:40qui vont avoir le plus de risques pour les personnes, pour les usagers.
03:46Et c'est évidemment ces usages-là qu'il faut protéger au maximum.
03:50Comme derrière, on voit bien, les fuites de données, c'est derrière des attaques informatiques, c'est du ransomware,
03:58c'est de l'utilisation de ces informations-là pour pouvoir tromper des personnes vulnérables, etc.
04:05Et conséquences importantes.
04:06Exactement, financières importantes.
04:08Déjà, tant en termes d'image pour l'organisation, parce qu'être victime d'une fuite de données, on a
04:12le double effet qui se coule.
04:14Non seulement on est effectivement mis sur le pilori dans la presse,
04:17et en plus de ça, on risque de se prendre une sanction de la part du régulateur.
04:21Mais en plus de ça, on va avoir nos clients qui vont évidemment peut-être partir ailleurs,
04:27parce qu'ils vont dire « mais je n'ai pas confiance en vous ».
04:29Et en plus de ça, le mal est fait.
04:32Une fois que les données sont parties un peu dans les méandres d'Internet,
04:36elles seront réutilisées par des attaquants, des personnes malveillantes.
04:39Et donc, on risque d'avoir de plus en plus d'attaques informatiques,
04:43d'attaques aussi vis-à-vis des personnes vulnérables sur de l'escroquerie, ce genre de choses-là.
04:53Alors Marine, Jérôme a évoqué des bonnes pratiques.
04:56Est-ce qu'il y a des erreurs à éviter ?
05:00Oui, évidemment, il y a des erreurs à éviter.
05:02Donc, Jérôme mentionnait l'approche par les risques.
05:05Alors pour moi, effectivement, l'erreur à éviter, c'est de vouloir mettre le même niveau de conformité partout,
05:09parce qu'on n'y arrivera pas en fait, ce n'est pas possible,
05:13parce que les organisations sont tellement vastes à l'heure actuelle,
05:16parce que certains sujets ne requièrent pas aussi le même niveau de priorisation.
05:21Moi, le constat que je fais, c'est que j'ai l'impression qu'au début du RGPD,
05:24comme on ne savait pas encore bien le pratiquer,
05:26on a voulu vraiment faire ce qu'on appelle du « one-size-fits-all » en anglais.
05:30C'est-à-dire, on a voulu vraiment être ceinture bretelle absolument partout.
05:33Et dix ans après, on en est où ?
05:35Non, dix ans après, déjà, on se rend compte qu'au mieux, on ne le fait pas, au pire, on
05:39le fait mal.
05:40Donc, c'est ça, pour moi, le plus grand piège,
05:42c'est de vouloir mettre le même niveau de conformité à tous les endroits de l'organisation.
05:47Et donc, pour faire écho à ce que tu disais aussi, c'est aussi un échelon de gouvernance.
05:52C'est-à-dire que c'est parce qu'on va bien maîtriser le sujet,
05:55on va bien maîtriser la gouvernance dans l'organisation,
05:58qu'on va aussi être en capacité de déployer un modèle qui est fondé sur une approche par les risques,
06:03et qu'on va éviter cette erreur de vouloir effectivement absolument partout
06:07mettre ce niveau de conformité trop exigeant à certains endroits.
06:11Jérôme, on a fait un peu le bilan du RGPD dix ans après.
06:16Qu'est-ce qu'on peut espérer ? Quelles sont les tendances à venir en matière de conformité ?
06:20On ajoute toujours des couches sur les directions juridiques avec davantage de textes.
06:25On a parlé de l'ominibus numérique.
06:28Quelles sont les tendances à venir selon vous ?
06:31Alors, les textes sont vivants et c'est normal qu'ils évoluent,
06:33et puis qu'on essaye de les faire un peu changer.
06:36C'est évidemment quelque chose qui va dans le bon sens,
06:39parce que parfois, les technologies, les usages d'il y a dix ans,
06:43ils ont changé, et aujourd'hui, on se rend compte qu'on veut faire des ajustements.
06:47Aujourd'hui, il y a encore des choses qui ne sont pas tout à fait assez explorées,
06:50y compris du RGPD depuis le départ.
06:53C'est que les secteurs d'activité, les entreprises, les branches professionnelles,
06:57s'approprient aussi le sujet et finalement édictent leurs propres règles.
07:02Je dirais qu'il y a le sujet des codes de conduite, des certifications.
07:06Ce sont des sujets qui reviennent, qui viennent de plus en plus aujourd'hui sur le devant de la table
07:11et qui finalement vont être un peu des guides, un peu sur étagère,
07:15qu'on va voir qu'est-ce qu'on doit faire.
07:16Et c'est ça qui est très attendu généralement par la profession,
07:18de savoir finalement quelque chose qui soit simple à exécuter,
07:22qu'on ait la règle, qu'on sache exactement comment ça se fait.
07:25Mais pour faire ça, il faut que finalement ces règles-là, elles viennent des professionnels,
07:31elles viennent des métiers qui vont pouvoir les édicter et expliquer que dans leur secteur d'activité,
07:38voilà combien de temps doit conserver les données par exemple dans notre secteur d'activité.
07:44Est-ce que ça, c'est un traitement à risque ou pas ?
07:46On connaît mieux le métier et justement toutes les caractéristiques qui vont avec.
07:52Exactement. Et ça, c'est aussi, je dirais, la conséquence un peu de la digitalisation
07:59de toutes les organisations des entreprises et puis de la normalisation aussi de plus en plus importante
08:05et qui fait aussi que les juristes d'ailleurs, aujourd'hui, deviennent de plus en plus experts
08:09des métiers qu'ils accompagnent. Et ça, c'est évidemment quelque chose de très important
08:13et qui fait qu'en fait, on arrivera à un moment à avoir quelque chose qui soit effectivement très clair,
08:19presque inclus dans les processus, sans que ce soit quelque chose qu'on voit de l'extérieur,
08:23qu'il soit finalement, qu'il soit vraiment quelque chose qui vienne de l'intérieur.
08:26Marine, vous êtes d'accord avec cette approche ?
08:29Oui, oui, je suis tout à fait d'accord, effectivement.
08:32Aussi, je trouve que pour compléter un peu le propos, alors dix ans après, moi, j'ai quand même
08:37le sentiment d'une bonne acculturation au sujet dans les entreprises en général,
08:41même si ça reste un sujet qui est vu comme assez technique, assez expert.
08:46Mais par rapport à ce que tu disais, Jérôme, oui, alors aujourd'hui, c'est bien intégré.
08:53Les gens, on les réflexe. On retrouve cette notion de protection des données dans beaucoup de processus.
09:00Quand on analyse un projet en amont de sa mise en œuvre pour savoir justement où se situer le niveau
09:05de risque.
09:06Alors, il n'y a pas que la protection des données. Il y a d'autres sujets qui sont regardés.
09:09Mais moi, je pense que le constat, il est relativement positif.
09:13Après, ça reste une réglementation qui est extrêmement lourde à porter.
09:17Notamment, on en parlait pendant la table ronde en matière de documentation.
09:21Mais si on, encore une fois, si on fait cet effort de simplification, de rationalisation,
09:26de mettre le bon degré, la criticité au bon niveau, je pense qu'on peut s'en sortir, en effet.
09:32On va conclure là-dessus. Merci Marine. Merci Jérôme.
Commentaires

Recommandations