Bird & Bird est un cabinet d'avocats, basé au Royaume-Uni et largement internationalisé. Il annonce 1 200 avocats et juristes répartis dans le monde entier. En publiant son guide GDPR, en anglais et maintenant en français, il nous offre une somme de 80 pages, basée sur les principes juridiques du texte, mais non dénué de mises en perspectives pour les entreprises qui doivent appliquer la nouvelle législation. En analysant le texte chapitre par chapitre, le cabinet livre un résumé rapide et liste les priorités d'application dans une rubrique intitulée « à faire ». Il donne ensuite des commentaires plus larges.

En introduction, l'étude prévient que les juristes n'ont pas l'habitude d'analyser ce type de texte, il s'agit en effet d'un règlement et non d'une directive européenne. Le règlement s'applique tel quel (totalement et directement) alors que la directive reste un cadre, dans lequel chaque Etat va définir sa législation propre (« transposer »), l'Europe lui imposant néanmoins un délai d'application.

Un temps d'adaptation sera nécessaire

Deuxième précaution, Bird & Bird souligne que plusieurs notions du texte sont très nouvelles et vont bousculer les juristes et les responsables en entreprise chargés d'appliquer le texte. Le cabinet cite en particulier : le terme « droit à l'oubli numérique », la portabilité des données, la notification des violations de données, et la notion de responsabilité dite « accountability ». Des notions nouvelles qui nécessitent un temps d'adaptation, d'autant qu'en entreprise les responsables GDPR viennent de plusieurs pôles : sécurité, informatique, audit et juridique. 

La responsabilité s'étend aux sous-traitants et en dehors de l'Union pour tout détenteur de données personnelles traitées sur son territoire. Une entreprise exerçant dans deux Etats doit également veiller à la notion d'Autorité chef de file, dont elle va dépendre sur ce sujet de la protection des données.

53% des entreprises seront en retard

Bird & Bird a également réalisé un sondage sur l'état de préparation des entreprises. Une centaine d'entreprises ont répondu au mois de mai dernier. Plus de 9 sur 10 ne sont pas prêtes actuellement à appliquer le nouveau règlement, 53% d'entre elles ne seront pas en mesure  de le faire à l'échéance du 25 mai 2018. Deux tiers des sondés se plaignent du manque de clarté du texte sur plusieurs points : droit à la portabilité des données, l'obligation de privacy by design, intégration des nouveaux droits des personnes. Elles déplorent que les nouvelles conditions du consentement soient difficilement applicables.

D'après le sondage, les entreprises qui se lancent dans GDPR ont des priorités : la mise en place d'une gouvernance efficace de protection des données personnelles, la constitution de la documentation obligatoire et la formation ou la sensibilisation de leur personnel. « Beaucoup  d'entreprises sont encore en phase de décryptage des nouvelles obligations, lançait Ariane Mole, avocat, associée, co-head international Data Protection Practice de Bird & Bird lors de la présentation de l'étude. A 11 mois de l'échéance, il est temps d'appuyer sur l'accélérateur ».