L’interview sécurité : droit du numérique et contrats Cloud avec Alexandre Lazarègue

Temps de lecture : 18 minutes

Après la revue de presse sécurité Revolve Job Zero, nous vous proposons un nouveau format régulier sur la sécurité Cloud. Dans cette série d’interviews, nous allons à la rencontre de spécialistes sécurité qui travaillent sur le Cloud pour faire un état des lieux des tendances et des pratiques. Pour compléter les points de vue techniques abordés jusque-là, et continuer notre exploration des aspects juridiques de la sécurité et de la conformité, nous accueillons aujourd’hui Alexandre Lazarègue.

Alexandre Lazarègue est avocat en droit du numérique. Depuis 2016, il accompagne les entreprises sur les sujets liés aux données personnelles, le droit des contrats numériques, et la protection face à la cybercriminalité.

Alexandre Lazarègue


Entre protection des données et cybercriminalité, comment se répartit votre activité ?

Mon cabinet est dédié au droit du numérique et aux problématiques liées à Internet. Il défend les intérêts d’entreprises en conseil comme en contentieux en matière de données personnelles, cybersécurité, propriété intellectuelle, contrats informatiques et cybercriminalité. Créée en 2016 au moment des discussions du parlement européen sur le RGPD, la protection des données a été incontestablement un domaine majeur de notre activité ces dernières années.

Le RGPD est maintenant un marché relativement mûr. Dans un premier temps, toutes les entreprises devaient se mettre en conformité et cela a généré beaucoup d’activité, aujourd’hui ce sont des interventions précises sur des projets spécifiques.

On constate par exemple une inquiétude des entreprises évoluant dans le domaine du numérique quant à l’impact des projets collectant des données personnelles massives sur le droit de la concurrence, la collecte des données personnelles s’étant révélée être un atout concurrentiel majeur, des actions en abus de position dominante liées à la collecte des données personnelles se multiplient. L’expérience de la COVID a sensibilisé les entreprises à l’importance du RGPD dans les projets touchant à la e-santé.

L’intelligence artificielle et les objets connectés sont aujourd’hui des enjeux majeurs pour la conformité du RGPD, qui exigent une grande rigueur dans le respect de la réglementation alors que les autorités de régulations ont accru leurs moyens de contrôle dans ce domaine.

La cybercriminalité est en forte croissance. La criminologie nous enseigne qu’il est désormais plus facile, et moins risqué, de braquer une banque en s’introduisant dans son SI, qu’avec une arme et une cagoule comme on le faisait jadis. Une attaque à main armée est un crime, un piratage est un délit, et la sanction est donc moins sévère. Incontestablement, les délinquants, très au fait de l’évolution de nos sociétés, se sont adaptés à la numérisation des échanges de biens et services et ont mis en place un certain nombre de techniques pour soustraire frauduleusement des biens aux internautes à travers le numérique. C’est d’autant plus problématique que l’identification des auteurs des attaques se révèle souvent très complexe.

Il existe cependant des mesures utiles et efficaces qui permettent de limiter les possibilités d’une attaque, et le cas échéant de réduire sa responsabilité si elles sont mises en œuvre de manière préventive : audit interne ou externe, charte informatique, délégation de pouvoir, mise en place d’un plan de continuité d’activité, rédaction d’un protocole de crise, souscription à une police d’assurance dédiée. 

Comment cela se traduit au niveau législatif ?

Je déplore une inflation législative dans le domaine du numérique qui accroît les difficultés plutôt qu’elle les résout. Chaque année, ce sont de nouvelles normes complexes et rigoureuses qu’il faut appréhender et quasi immédiatement mettre en application en matière de cybersécurité, de réseaux sociaux, d’intelligence artificielle, de droit de la concurrence, d’objets connectés… Cela représente un coût très important pour les entreprises. Ces textes trouvent leur raison d’être dans la “passion” législative de l’Union européenne, associée à la volonté de nos gouvernants de montrer à l’opinion qu’ils sont actifs. Il en ressort des normes qui seront parfois inappliquées car difficiles à mettre en œuvre ou inapplicables quand elles ne font que reprendre des dispositions déjà existantes ou parce qu’elles se contredisent.

Par exemple, le 1er octobre 2023, un mécanisme de cyberscore doit être mis en place par les plateformes numériques, les entreprises de messageries instantanées et les sites de visioconférence. Ces sociétés devront informer les internautes, par un visuel « cyberscore », de la sécurité de leur site ou service ainsi que de la protection et localisation des données qu’ils hébergent (par eux-mêmes ou via leurs prestataires). Ce score sera défini à la suite d’un audit effectué par un prestataire indépendant, sur la base de critères et selon des modalités qui doivent être précisés dans un arrêté, qui à ce jour n’a pas encore été publié !  

Autre exemple, un projet de loi visant à encadrer la pratique des influenceurs sur les réseaux sociaux et voté récemment à l’unanimité (!) couvre pour l’essentiel de ses dispositions des règles déjà présentes dans le Code de la consommation.

Pouvez-vous commenter le projet de loi numérique du 10 mai dernier ?

Sécuriser et réguler l’espace numérique” est un projet de loi qui comporte 36 articles et propose une série de mesures, dont certaines sont bienvenues, pour réguler les relations sur internet. Par exemple, la mise en place d’un filtre anti-arnaque imposé aux serveurs internet, aux gestionnaires de mails, aux moteurs de recherche permettra d’informer les internautes des sites et mails suspects.

C’est un texte utile alors que les escroqueries à travers de faux sites d’investissement en ligne prolifèrent. Il y est proposé d’investir dans le bitcoin, les vaches laitières ou encore le cannabis thérapeutique… Chaque année, ce sont 500 millions d’euros qui sont détournés par les escrocs en ligne en France, et force est de constater que les autorités peinent à identifier les auteurs ou retrouver les fonds, compte tenu du caractère international de la fraude et de la facilité des auteurs à masquer leurs traces en ligne même si l’acharnement de certains magistrats, la coopération internationale et la mise en responsabilité des banques intermédiaires donnent des résultats.

Cependant, le texte est un peu un fourre-tout de règles visant à réguler Internet : filtre anti arnaque, normes contre la pédopornographie sur les réseaux sociaux, ajout d’une peine complémentaire contre les auteurs de cyber harcèlement (interdiction d’accès à un réseau social pendant 6 mois ou 1 an).

À noter, ce texte prévoit également des mesures visant à faciliter le transfert de ses données d’un Cloud vers un autre, par l’interdiction faite aux Cloud de facturer aux clients ces transferts. L’objectif est d’éviter l’entrave à la migration par des prix prohibitifs, une forme de droit à la portabilité, à l’instar de ce qui se fait dans la téléphonie. 

Ces dispositions sont-elles efficaces ? Applicables ?

Le déploiement du filtre anti-arnaque est sans aucun doute un outil prometteur dans la lutte contre la criminalité, mais il ne peut pas être considéré comme une solution à lui seul. Il est crucial que les entreprises restent vigilantes. Le filtre sera basé sur la collecte d’informations provenant des plateformes du ministère telles que Pharos (le portail de signalement des contenus illicites sur internet). Ce système comporte le risque de faux positifs, ce qui serait une atteinte à la liberté de communication ou ne garantit pas la détection systématique des sites frauduleux. De plus, il est probable que les auteurs de ces infractions multiplient les noms de domaine pour contourner les mesures de filtrage. Bien que le filtre constitue une avancée, il n’est pas une panacée. Il contribuera néanmoins à sensibiliser un nombre important d’utilisateurs aux risques potentiels.

En ce qui concerne le cyberharcèlement, il s’agit d’une peine complémentaire aux sanctions pénales déjà existantes et visant à bannir les auteurs de ce délit des réseaux sociaux pour une période de 6 mois à un an. En toute hypothèse la procédure permettant d’aboutir à la poursuite d’un auteur de cyberharcèlement est extrêmement lourde, elle implique d’abord de l’identifier techniquement. Or l’anonymat sur les réseaux sociaux étant toujours possible, le cyber harcèlement a encore de beaux jours devant lui. La lutte contre la criminalité en ligne nécessite une approche multifacette. Les filtres et les mesures de prévention sont des outils importants, mais ils doivent être complétés par une sensibilisation accrue, une éducation aux bonnes pratiques en ligne et une collaboration étroite entre les autorités, les plateformes numériques et les utilisateurs eux-mêmes.

L’usage croissant du cloud a-t-il rendu plus complexe la consommation des services informatiques du point de vue réglementaire ?

En effet, au cours de la dernière décennie, les offres de cloud se sont multipliées et la qualité des services proposés a évolué, passant du simple stockage de données aux services applicatifs collaboratifs, entre autres. Cela représente un avantage décisif pour les entreprises en termes de coûts, car elles n’ont plus besoin de stocker leurs propres données et peuvent échanger des documents sans se préoccuper de l’acquisition et de la maintenance d’un réseau complet au niveau interne.

Cependant, la complexité des relations entre l’entreprise cliente et le fournisseur de services cloud soulève des questions de responsabilité.

Par exemple, en ce qui concerne le droit des données personnelles, il est difficile de déterminer précisément qui est responsable du traitement des données au sens du RGPD. En principe, c’est l’entreprise cliente qui détermine les finalités et les moyens de collecte des données stockées dans son cloud. Ainsi, l’entreprise cliente est considérée comme un responsable de traitement et le fournisseur cloud comme un sous-traitant. Cependant, il apparaît que les applications et services proposés par le cloud peuvent amener l’entreprise cliente à adapter les finalités et les moyens de collecte des données pour répondre aux exigences du cloud, ce qui pourrait conduire le fournisseur cloud à devenir un co-responsable du traitement des données personnelles.

Cette tendance s’explique en partie par le recours croissant à des solutions Cloud “prêtes à l’emploi » et standardisées. Dans ce type de configuration, le fournisseur a souvent préétabli une ou plusieurs finalités auxquelles sa solution est dédiée grâce à ses fonctionnalités. Cette circonstance n’est pas problématique tant que le client choisit une solution de ce type précisément en raison de ces fonctionnalités, afin de poursuivre les finalités qui y sont attachées. Cependant, cela n’est valable que si le client est pleinement informé de toutes les fonctionnalités, et surtout de toutes les finalités des traitements effectués par la solution.

Dans le cas contraire, le client serait étranger à de tels traitements et ce serait alors le fournisseur, en tant que seul détenteur des connaissances et de la maîtrise de ces traitements, qui serait considéré comme responsable de traitement. Toutefois, il est fréquent que le client ignore les modalités des traitements mis en œuvre par la solution qu’il a choisie, notamment lorsque le fournisseur a préconfiguré la solution pour faciliter son utilisation immédiate par le client, qui n’aurait ainsi que peu ou pas de réglages à effectuer. Dans ce cas, si la préconfiguration a porté sur des éléments essentiels du traitement (catégories de données traitées, étendue des droits d’accès, durée de conservation, etc.) et en l’absence de connaissance et de validation effective par le client, il faudra considérer que ce dernier n’a pas « déterminé » les moyens du traitement, ou l’a fait conjointement avec le fournisseur.

Dans ce contexte, je recommande aux entreprises d’examiner attentivement les contrats conclus avec les fournisseurs de services cloud, de clarifier les responsabilités respectives. Cela leur permettra de bénéficier pleinement des avantages offerts par le cloud tout en garantissant la protection des données et le respect des exigences légales.

Sur le plan de la cybersécurité ; dans la pratique et en cas d’incident ou d’indisponibilité, se pose la question de la responsabilité entre l’entreprise cliente et le fournisseur cloud. En principe, c’est au Cloud d’assumer tous les risques de cybersécurité *. Dans la pratique, le prestataire fournit au client sa politique standard de sécurité, souvent non contractuelle. Le client doit vérifier que cette politique répond bien à ses propres exigences en la matière. La discussion portera alors sur le caractère contractuel (et donc engageant) de ces règles, pour lesquelles il conviendra que le client demande a minima qu’elles soient annexées au contrat.

*NDLR : le fournisseur cloud est responsable de la sécurité des composants mis à la disposition de ses clients et de respecter les exigences de protection de la confidentialité des données clients. Le client est responsable de la sécurité des données et autres composants qui lui appartiennent et qu’il dépose dans la plateforme d’accueil cloud.

Pour ce qui est de la sécurisation des données, il faudrait considérer que l’obligation principale du prestataire est de fournir un service digital sécurisé de traitement de données – cette obligation serait implicite, car quel intérêt pour le client d’acheter des espaces d’hébergement de ses données, si le fournisseur se dégage de toute responsabilité relative à une violation des données.

Il revient cependant au client de respecter les normes raisonnables de sécurité au sein de son propre environnement. Le cloud est un atout décisif pour les entreprises, en termes de coût, de simplification des process, et on ne peut qu’encourager les entreprises à utiliser les services cloud, cependant il ne faut pas croire que leur responsabilité est en termes de sécurité est entièrement déléguée au fournisseur cloud.

Quelles sont vos recommandations en matière de stockage de données sur le Cloud ?

Lorsqu’il s’agit de stocker des données sur le Cloud, il est important de prendre en compte plusieurs facteurs. Tout d’abord, certaines données ne peuvent pas être stockées en dehors du territoire national, notamment celles qui revêtent un intérêt vital pour la nation, telles que celles collectées par les Opérateurs d’Importance Vitale (OIV).

Ainsi, une entreprise qui envisage de recourir à un fournisseur de services Cloud doit réaliser au préalable un audit pour déterminer quelles données sont traitées, qualifier leur nature, évaluer leur transférabilité à l’étranger et définir si ces données sont sensibles (telles que des données de santé ou d’intelligence économique). L’audit permettra de sélectionner l’offre Cloud la mieux adaptée à ses besoins.

Par la suite, il est essentiel de garder à l’esprit que, bien que la plupart des fournisseurs propose des contrats d’adhésion standards, il est possible de négocier certains points. Il est donc primordial de bien définir le périmètre de responsabilité de chaque partie. De plus, comme mentionné précédemment, il est recommandé de vérifier que la sécurité du fournisseur est régulièrement auditée par des tiers indépendants. En cas de défaut de sécurité, l’entreprise cliente pourrait être tenue pour responsable en cas d’incident.

Enfin, je rappelle la nécessité de prudence concernant les données d’intelligence économique et du risque d’accès posé notamment par le Cloud Act, et qui permet au gouvernement américain d’accéder à des données stockées dans des clouds américains. Certes ce texte permet au gouvernement américain de demander à des Clouds américains l’accès aux données des sociétés uniquement en cas de procédure portant sur des crimes graves, et le cloud peut le refuser.

C’est le cas de Microsoft qui, à plusieurs reprises, a refusé l’accès aux données et qui a eu gain de cause face à la justice américaine. En toute hypothèse, le meilleur moyen de se prémunir contre ce risque reste le chiffrement avant le stockage.

Que retenir de la jurisprudence OVH de 2023 ?

Avec l’incendie du datacenter OVH, on a vu que le risque de failles de sécurité pouvait advenir, avec un lourd préjudice pour l’entreprise. Deux décisions ont été rendues en janvier et mars 2023, et OVH a été condamné dans les deux cas. OVH avait annoncé stocker les données client sur deux sites différents, mais en réalité il n’y avait pas de redondance et les données ont été perdues. Cela montre qu’il faut être vigilant sur les engagements contractuels pris par le fournisseur Cloud, et que la demande d’accès aux audits internes et externes de l’entreprise peut être utile pour s’assurer de la conformité de leurs engagements.

Existe-il une définition légale du Cloud souverain ?

Il n’existe pas de définition légale. L’expression est employée dans l’espace public comme une alternative à la domination des GAFA dans l’économie du numérique et après le COVID qui a permis de faire le constat d’une perte de souveraineté sur le plan industriel et notre état de dépendance dans des secteurs vitaux vis-à-vis d’autres puissances.

Le cloud souverain, désigne la possibilité de stocker nos informations sur un territoire protégé de toute législation extraterritoriale ou dans des serveurs qui sont étanches à toute ingérence extérieure. On retrouve en effet dans les législations touchant au numérique des règles qui s’imposent non seulement sur le territoire de l’État qu’il édicte mais aussi à l’étranger.

C’est le cas du RGPD qui impose l’application de règles aux entreprises étrangères qui collectent des données sur le sol européen, peu importe qu’elles y soient domiciliées.

Mais en dehors de la loi sur les OIV qui impose aux entreprises qui collectent des données d’intérêt vital pour la Nation de les stocker uniquement sur le territoire national, aucune société n’est soumise à une telle contrainte.

La notion de cloud souverain renvoie également à l’idée que les États européens doivent soutenir financièrement le développement d’un cloud compétitif sur le plan mondial, mais français ou européen dans sa nationalité alors que le marché du Cloud est dominé par des acteurs américains, ce qui constitue une menace pour la compétition économique et l’intelligence économique des entreprises françaises. Comment ne pas voir qu’un tel projet comporte une part d’illusion ? Certes les États-Unis ont soutenu le développement des GAFA mais dans un régime libéral, il incombe d’abord aux entreprises d’innover. Si l’État peut soutenir les initiatives privées, doit-il s’y substituer ?

Que pensez-vous de l’initiative Gaia-X ? 

L’initiative Gaia-X est un projet de cloud lancée dans le cadre d’une initiative franco-allemande, qui réunit OVHcloud, le leader européen du cloud installé en France, et T-Systems, filiale de services numériques de l’opérateur allemand Deutsche Telekom. L’objectif de ce projet était de créer une infrastructure de stockage de données efficace, compétitive, fiable et sécurisée, permettant le partage de données dans le respect de principes fondamentaux tels que la protection des données, la transparence, la réversibilité et l’interopérabilité. Il visait à offrir aux États et aux entreprises européennes une alternative aux solutions de cloud proposées par des acteurs tels que Google, Microsoft ou Amazon. Plusieurs centaines d’entreprises et d’institutions européennes, notamment des entreprises, des hôpitaux, des ministères et des universités, ont rejoint ce projet, y compris certaines filiales européennes d’entreprises étrangères telles que Huawei, Microsoft Belgique, Amazon Europe, Palantir Technologies et Alibaba.

Cependant, il est actuellement difficile d’évaluer l’efficacité de ce projet, car il semble ne pas encore porter ses fruits. Il convient également de noter que ce type d’initiative peut entrer en contradiction avec le principe de libre circulation des biens, des services et du commerce, ainsi qu’avec l’idée d’une souveraineté économique.

Il est néanmoins indéniable qu’il existe un véritable enjeu en matière de protection de la confidentialité et de l’intelligence économique de nos entreprises face à des concurrents mal intentionnés ou à des ingérences étatiques. Cela se manifeste par exemple par l’interdiction, dans certains États américains ou dans des administrations européennes, de l’utilisation de l’application TikTok par leurs agents.

Il est crucial de trouver un équilibre entre la protection des données et la promotion de l’innovation, du commerce et de l’ouverture des marchés. Les initiatives telles que Gaia-X soulignent la nécessité de renforcer la sécurité et la protection des données, tout en favorisant une concurrence saine et en encourageant l’émergence de solutions européennes dans le domaine du cloud et des technologies numériques.

En conclusion, l’initiative Gaia-X représente une tentative prometteuse de développer une infrastructure de cloud européenne répondant aux exigences de sécurité et de souveraineté économique. Cependant, son efficacité et ses résultats concrets restent à évaluer, et il est essentiel de trouver un juste équilibre entre protection des données et ouverture des marchés.

Quelle gouvernance organiser entre les DSI et les départements juridiques ?

La collaboration entre les DSI et les départements juridiques est essentielle, car ils ont des rôles complémentaires. Le juriste doit acquérir des connaissances techniques, tandis que les DSI doivent être sensibilisés aux enjeux juridiques. Une communication efficace peut parfois être difficile en raison des différences de langage.

Le juriste établit des protocoles et traduit les obligations légales en termes clairs. Le rôle du DSI est ensuite de mettre en place les systèmes et les outils nécessaires pour respecter ces obligations.

Par exemple, le RGPD propose plusieurs obligations en matière de sécurité informatique, telles que le chiffrement des données. Il incombe au DSI de mettre en œuvre ces mesures à l’aide des ressources et des connaissances à sa disposition. Il est important de noter que ces normes relèvent de la conformité et ne sont pas des lois à suivre à la lettre. L’entreprise est responsable de mettre en place des systèmes garantissant le respect de ces normes. Cependant, le juriste ne peut pas vérifier lui-même la mise en œuvre technique de ces mesures.

Il existe des ressources disponibles, comme le protocole sécurité informatique 2023 de la CNIL, qui propose 17 recommandations spécifiques pour se conformer au RGPD, telles que le chiffrement, la gestion des mots de passe, les outils mobiles, etc.

Avez-vous constaté une collaboration accrue entre DSI et juridique ?

Dans mon expérience personnelle, je constate que la collaboration entre les DSI et les départements juridiques fonctionne assez bien. Je travaille avec des sociétés de conseil qui sollicitent mon expertise juridique pour compléter celle de leurs experts en cybersécurité, et il y a une prise de conscience que cela doit être un travail d’équipe.

Mon cabinet d’avocat par exemple travaille naturellement avec des sociétés de conseil et propose une offre combinée de services DSI/juridique, car la conformité ne peut être atteinte uniquement par l’un ou l’autre département. C’est pourquoi nous avons besoin d’une expertise ayant à la fois des compétences informatiques et une sensibilité juridique, ou des juristes ayant une sensibilité aux questions techniques.

Je constate également une volonté des DSI de mieux comprendre l’environnement juridique et leurs obligations légales en manifestant leur souhait d’être formés juridiquement pour avoir des arguments à faire valoir auprès de leurs décideurs quant aux stratégies qui sont discutées au sein de l’entreprise.

Cette collaboration étroite entre les DSI et les départements juridiques est essentielle pour garantir une gouvernance efficace et assurer la conformité aux réglementations en matière de sécurité et de protection des données.

Pour terminer, comment a évolué le RGPD depuis son application en 2018 ?

Depuis son entrée en vigueur en mai 2018, le RGPD a transformé la protection des données en Europe. Il a créé un cadre réglementaire solide et cohérent qui garantit des droits et des obligations clairs pour les individus et les entreprises, préservant ainsi le contrôle des données personnelles de chacun. Le RGPD a renforcé la confiance des citoyens en offrant des mécanismes de contrôle et en rendant les organisations responsables de la collecte et du traitement des données.

Les résultats obtenus au cours des cinq dernières années sont positifs. Le RGPD a renforcé les droits individuels en donnant aux citoyens européens un plus grand contrôle sur leurs données. Il a renforcé des droits tels que l’accès, la rectification, la portabilité et l’effacement des données, ce qui permet aux individus de mieux contrôler l’utilisation de leurs informations.

Les entreprises sont maintenant responsables de respecter des normes plus strictes en matière de protection des données. Elles doivent mettre en place des mesures de sécurité appropriées, obtenir un consentement explicite pour le traitement des données sensibles et signaler les violations de données dans les délais spécifiés. Les autorités de protection des données disposent de pouvoirs accrus pour faire respecter le RGPD, enquêter sur les violations de données et imposer des sanctions en cas de non-conformité.

Le RGPD a également harmonisé les règles de protection des données dans toute l’Union européenne, facilitant ainsi les échanges de données et renforçant la coopération entre les autorités de protection des données des différents pays.

Il a joué un rôle essentiel dans la sensibilisation du public à la protection des données, en suscitant un débat sur la confidentialité et en encourageant les individus à exercer leurs droits en matière de protection des données.

Cependant, il reste des défis à relever. La complexité des réglementations et leur application uniforme dans tous les pays de l’UE nécessitent une vigilance continue. Les avancées technologiques rapides, telles que l’intelligence artificielle et l’Internet des objets, posent de nouveaux défis en matière de protection des données. Il est important de s’assurer que le RGPD reste adapté aux évolutions technologiques et aux besoins changeants des citoyens européens.

D’autres pays en dehors de l’Europe ont également légiféré sur la protection des données personnelles, reconnaissant ainsi l’importance de la collecte de données dans la compétition économique internationale.

Force est de constater également que les GAFA, en dépit de nombreuses décisions de condamnation sévère en matière d’amendes, peinent à se discipliner et à respecter scrupuleusement le RGPD. Que vaut en effet une amende de 1 milliard d’euros pour Facebook lorsqu’elle génère 117,9 milliards de dollars de revenus publicitaires ?

Être en conformité avec la loi représente toujours un coût pour les acteurs économiques, et s’en dispenser est encore un moyen de renforcer leur suprématie financière.

Ce phénomène est fréquemment observé lors de ruptures technologiques ou d’environnements juridiques, à l’instar de l’ouverture à la concurrence des télécoms en 1998. Après 150 ans de monopole, certains acteurs historiques préféraient résister au respect des nouvelles règles dans le but de conserver des parts de marché, choisissant de s’exposer à des condamnations judiciaires aux impacts économiques nécessairement moindres que ceux associés au respect de la loi.

Il revient aux régulateurs de faire comprendre aux entreprises que l’accès au marché européen, avec ses 500 millions de consommateurs éduqués et à fort pouvoir d’achat, nécessite le respect des lois. Les sanctions financières restent l’outil le plus efficace pour garantir la conformité et aligner les valeurs des entreprises sur les principes du RGPD.

Commentaires :

A lire également sur le sujet :