Nathalie Chiche - Avocate au Barreau de Paris, DPO et CEO de Clearr

Aujourd'hui, Mick. en partenariat avec Memosya vous fait découvrir le [très impressionnant] parcours de Nathalie Chiche !

Avocate au Barreau de Paris, médiatrice numérique et déléguée à la protection des données (DPO), Nathalie se lance aujourd'hui un nouveau challenge en créant CLEARR, une plateforme tiers de confiance de documentation RGPD sur la Blockchain (lauréat de l'Incubateur du Barreau de Paris - 2022).

Nathalie nous fait découvrir son parcours, le métier de DPO et ses conseils pour réussir dans cette filière. 

Prêts à découvrir le portrait de Nathalie ? 

🤓 #DroptheMick. !

Bonjour Nathalie ! Pouvez-vous vous présenter et nous présenter votre parcours ? 

Bonjour à vous deux et merci pour cette interview !

Je suis avocate au Barreau de Paris et Déléguée à la Protection des données depuis 2018.

Avant ça, j’ai eu un parcours professionnel assez atypique après ma demande d’omission en 1997. J’ai privilégié avant tout ma vie familiale avec 4 jeunes enfants, puis j’ai occupé différents postes au gré de mes rencontres… J’ai été investisseur en immobilier, directrice de communication d’une institution politique, conseillère de l’Ambassadeur des droits de l’homme au Quai d’Orsay et Rapporteur d’une étude du CESE sur la Gouvernance d’internet.

La protection des données étant un des enjeux de la gouvernance d’internet, j’ai décidé de reprendre mes études pour me former au droit des données et exercer mon métier d’aujourd’hui.

Plusieurs futurs avocats cherchent à se spécialiser aujourd’hui. Pouvez-vous nous expliquer en quoi votre métier serait une opportunité pour les futurs avocats ?

Vous le savez, il est possible pour un avocat de se spécialiser depuis 2012 et d’obtenir un certificat de spécialisation qui atteste de ses compétences dans un domaine.

Dernièrement, le « droit à la protection des données personnelles » a été ajouté à la liste des spécialisations du Conseil National des Barreaux (CNB – 20 octobre 2021). Les avocats peuvent donc désormais se faire certifier « spécialistes »en la matière !

L’objectif étant de valoriser l’activité de DPO (Data Protection Officer, ou délégué à la protection des données – DPD) instaurée par le Règlement Général sur la Protection des Données (RGPD) entré en application le 25 mai 2018.

Le DPO est désigné « sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données » (art. 37.5 du RGPD).

Force est d’admettre qu’à ce jour l’activité de DPO est principalement exercée par d’autres professionnels non-avocats tels que des consultants RGPD ou des sociétés commerciales de DPO et c’est bien dommage … !

Vous êtes principalement DPO externe, pouvez-vous nous expliquer en quoi cela consiste ? Peut-on être avocat et DPO ? Comment peut-on devenir DPO ?

Le DPO est un acteur clé de la conformité au RGPD. La fonction de DPO est réglementée et définie avec précision dans les articles 37 à 39 du RGPD.

Mes principales missions sont :

✅   Informer, conseiller et accompagner au sein de l'organisme qui nous désigne afin de faire respecter le règlement européen et le droit national en matière de protection des données personnelles ;
✅   Sensibiliser au sein de sa structure aux enjeux de la protection des données personnelles des employés comme des clients ;
✅   Superviser des audits internes sur la protection des données personnelles ;
✅   Conseiller le responsable sur l'opportunité de réaliser une analyse d'impact vie privée et en vérifier l'exécution ;
✅   Recevoir et répondre à toute question ou réclamation relative à la protection des données ;
✅   Coopérer avec l'autorité de contrôle (en France, la CNIL) et être son point de contact au sein de sa structure.

Bien sûr, il est tout à fait possible d’exercer en qualité d’avocat et de DPO externe si on tient bien compte des dispositions de l’article 6 du RIN et en particulier :

🔎   L’obligation de déclaration au Bâtonnier par écrit ses fonctions de DPO (Art 6.4 du RIN) ;
🔎   La réglementation des conflits d’intérêts en refusant de représenter toute personne ou organisme pour lesquels il exerce ou a exercé la mission de DPO dans le cadre de procédures administratives ou judiciaires le mettant en cause(Art 6.3.3 du RIN )

Pour devenir DPO, je conseille d’obtenir a minima un certificat de spécialisation« Protection des données » dispensé par le Cnam et de suivre une formation comme un Diplôme d'Université Délégué à la protection des données comme je l’ai fait.

Je ne pense pas qu’il soit possible d’être DPO avec une simple formation de 5jours en 35 heures (référentiel de la CNIL).

Quelles sont les qualités nécessaires pour exercer votre métier ? 

Pour la CNIL, le DPO est LE « Chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme. Il est donc nécessaire d’avoir beaucoup de pédagogie pour sensibiliser et former les collaborateurs de l’organisme à la protection des données, sans oublier bien évidemment des compétences juridiques (le RGPD est un texte très technique), techniques et organisationnelles…

On dit souvent que le DPO est un mouton à 5 pattes … !

Félicitations pour votre sélection à l’Incubateur du Barreau de Paris ! Pouvez-vous nous présenter votre projet CLEARR ? À quelle cible s’adresse-t-il ?

CLEARR est un projet qui donne du sens à ma mission de DPO.

Le RGPD est en application depuis 4 ans et je constate dans ma pratique quotidienne qu’il y a très peu d’entreprises qui ont commencé une démarche de conformité au RGPD (384 contrôles, 18 sanctions Rapport d’activité 2021 de la CNIL).

Avant le RGPD, c’est la CNIL qui accompagnait les organismes à se mettre en conformité avec la règlementation (contrôle a priori).

Depuis le RGPD, les organismes doivent prouver (Charge de la preuve) à tout moment leur conformité au RGPD en regroupant plusieurs documents qui devront être actualisés régulièrement (contrôle a posteriori de la CNIL). En cas de non-conformité, c’est le responsable de traitement qui engage sa responsabilité (pénale, civile et administrative).

Le RGPD apporte deux innovations majeures : la coresponsabilité et la responsabilisation dessous-traitants.

Même si la répartition exacte des responsabilités pourra être déterminée par contrat, elle ne sera pas opposable systématiquement au régulateur ou au juge car risque de requalification des acteurs de traitements ;

C’est pourquoi j’ai eu l’idée de créer CLEARR, un outil probatoire qui permet à tout organisme de déposer sa documentation RGPD au format numérique sur une infrastructure de tiers de confiance (Blockchain en mode SAAS) et de rapporter la preuve des documents déposés en cas de litige pour exonérer sa responsabilité (Art 82-33 du RGPD).