📝Les outils technologiques, la compliance by design et le RGPD : la protection des données dès la conception, in 🕴️M.-A. Frison-Roche (dir.), 📕Les outils de la Compliance

► Référence complète : L. Pailler, "Les outils technologiques, la Compliance by design et le RGPD : la protection des données dès la conception", in M.-A. Frison-Roche (dir.), Les outils de la Compliance, coll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) et Dalloz, 2021, p. 279-286.

____

📕consulter une présentation générale de l'ouvrage, Les outils de la Compliance, dans lequel cet article est publié

____

► Résumé de l'article (fait par le Journal of Regulation & Compliance) : L'auteur estime que le RGPD a fait changer le "paradigme" de la protection des données pour la porter dans la Compliance, en ce que les responsables de traitement doivent assurer l'effectivité des règles définies par le Règlement, ce dont ils rendent des comptes.  En outre, la donnée, traitée par l'algorithme, est "un moyen de compliance" lorsqu'elle est utilisée pour les plans de vigilance et tous les autres outils, cette brique étant commune à tout le Droit de la Compliance.  Pour respecter le Droit, et notamment protéger les personnes, la Compliance by design continue à intégrer la "conformité" dès la conception de ses outils par des normes techniques (Privacy Enhancing Technologies - Pet’s), juridicisées par le RGPD. 

L'auteur analyse les moyens technologiques de la protection des données dès la conception de l'outil, qui viennent compléter la loi et le contrat. Il s'intègrent dans les "mesures" requises pour protéger les personnes, par exemple les transferts vers les pays-tiers, ces moyens technologiques étant classés selon leur degré d'effectivité. Si l'opérateur est libre dans le choix de la technologie, mais le Droit exige et contrôle qu'il soit non seulement effectivement protecteur mais encore robuste, facile d'utilisation et compatible avec les outils de l'utilisation. L'auteur souligne que la notion de "effectivité" englobe ces exigences particulières. Cette effectivité, qui doit être prouvée à priori ("documentée") est contrôlée par les Autorités  dans le caractère approprié des mesures techniques, leur mise en oeuvre efficace et leur effet concret.

Même si l'opérateur n'est soumis qu'à l'état de la technique, il doit faire évoluer ses moyens techniques, aidé par les autorités (cf. "pack de compliance" de la CNIL). Même si les autorités visent à optimiser les coûts, il doit les supporter, la mise en contexte et la finalité du traitement ne rendant finalement proportionnel. Ainsi si le risque est très élevé pour les personnes, il faudra insérer des techniques plus protecteurs encore que ceux du Droit de la Compliance. 

________