Alexandra Iteanu : « On parle parfois un peu trop du RGPD et on en vient à oublier les autres textes qui encadrent nos données » !

Actu-Juridique : Comment êtes-vous devenue avocate ?

Alexandra Iteanu : On peut qualifier mon début de parcours d’« atypique » parce que je ne voulais pas faire du droit initialement. Je souhaitais, au départ, évoluer dans un milieu plutôt artistique. Je faisais de la peinture et j’avais déjà quelques expositions à mon actif ainsi que plusieurs commandes de tableaux. Cependant, je me suis vite rendue compte que je préférais que l’art reste mon hobby, et non pas ma profession. J’ai finalement trouvé un métier qui se rapproche de l’art : avocate spécialisée en droits d’auteur et en propriété intellectuelle. Je suis donc entrée à l’université Paris 2 Panthéon-Assas et y suis restée jusqu’au master 1.

AJ : Aujourd’hui vous êtes spécialisée en data et en RGPD. Pourquoi ce revirement ?

A.I. : Les questions de réseaux et de connexions entre humains se retrouvaient déjà dans mes dessins. Le choix d’un master spécialisé en propriété intellectuelle et en nouvelles technologies était plutôt naturel. C’est durant mon master 2 que je me suis découvert une passion pour le côté Information Technology (IT). On avait de nombreux cours techniques et j’étais passionnée par le fait de comprendre ce qui nous entoure aujourd’hui. Je suis donc titulaire du Master 2 « Droit des créations numériques » de l’université de Paris XI ainsi que du LLM « Propriété intellectuelle et nouvelles technologies » de l’université King’s College of London (PPI). Le règlement général sur la protection des données (RGPD) est d’ailleurs entré en vigueur alors que je me trouvais à Londres, en 2016. J’ai rédigé mon mémoire sur les objets connectés et les applications de santé. Comment les données étaient-elles traitées et dans quel cadre juridique ?

AJ : Y’a-t-il de grandes différences dans l’enseignement entre Londres et Paris sur ces sujets ?

A.I. : À Paris, il n’existait pas de master spécialisé en data ; j’ai donc fait de l’IT pure. Ainsi, ils étaient plus en avance sur ces sujets à Londres, avec une dominante importante sur les données. En réalité, la question des données personnelles est traitée en France depuis le 6 janvier 1978. À l’époque, notre cabinet a participé aux premières jurisprudences dans ce domaine. Ce sujet s’est beaucoup développé ces dernières années, avec l’entrée en vigueur du RGPD.

AJ : Où avez-vous effectué vos stages ?

A.I. : En master 2, j’ai effectué mon stage au sein du cabinet August Debouzy. C’était important pour moi de voir la matière dans sa globalité (contrats informatiques, contrats d’hébergement, etc.) et pas uniquement sous le prisme des data. À Paris, j’ai également fait un stage dans le cabinet Hogan Lovells et cette expérience m’a confortée dans mon intérêt pour cette matière. À la fin de mon stage la question s’est posée – où dois-je exercer ? J’ai décidé de rejoindre le cabinet fondé par mon père et de développer la branche RGPD, qui était à peine naissante. On me demande souvent pourquoi j’ai choisi de travailler pour mon père. Il se trouve qu’il y a peu de cabinets de cette taille, c’est-à-dire de taille moyenne, dédiés à l’IT. Or ce qui m’intéressait, au départ, c’était d’avoir une approche plus globale, de faire du contentieux et de ne pas me spécialiser trop vite. Je ne voulais pas faire que de la data. En outre, cela m’a permis d’être dans un processus de création. J’ai réalisé des choses qui m’ont permis d’énormément évoluer.

AJ : Les cabinets spécialisés dans le numérique sont-ils de plus en plus nombreux ?

A.I. : Iteanu Avocats a été créé il y a une vingtaine d’années et s’est tout de suite spécialisé dans les nouvelles technologies et dans le droit d’internet, bien avant que ces sujets deviennent « populaires ». À l’époque, Olivier Iteanu était un précurseur en droit du numérique ; il a beaucoup plaidé dans ce domaine. Aujourd’hui, on voit de plus en plus de cabinets américains ouvrir des départements IT et data. Beaucoup d’entreprises qui ne sont pas forcément dans les technologies ont des problématiques touchant à ces domaines ; c’est pour cela qu’il y a une augmentation de la demande quant à des spécialisations dans ce secteur.

AJ : Quel type de clientèle avez-vous ?

A.I. : Nous avons beaucoup de sociétés informatiques et de sociétés dédiées aux nouvelles technologies. Mais nos clients sont également constitués par des entreprises qui basculent dans le numériques dans leurs services et qui viennent donc nous consulter pour cela. Nous traitons également avec des start-ups sur des projets innovants. Ces clients nous demandent de les accompagner sur ces thématiques. Je travaille beaucoup avec des éditeurs de logiciel en santé qui proposent, par exemple, des applications de prise de rendez-vous, de gestion de dossiers patients, des objets connectés ou encore des objets de mesure destinés aux hôpitaux. Dans ce secteur, des problématiques importantes se posent quant aux données de santé et de data. Ainsi, on accompagne nos clients sur toutes les phases de leur vie d’entreprise ainsi qu’en cas de violation de données. C’est ce que je trouve intéressant.

AJ : Avez-vous une affaire marquante à nous partager ?

A.I. : Dans une affaire de violation de données personnelles, nous avons accompagné un éditeur de logiciel en santé lors d’un contrôle effectué par la Cnil, à la fin de l’année 2021. Durant toute une journée, la Cnil a visité la société, posé des questions, relevé des preuves. Cette journée a été très intense et nous avons, en outre, dû gérer l’aspect médiatique de cette affaire.

AJ : Vous faites également de la formation ?

A.I. : Oui, le cabinet forme régulièrement des membres du ministère des Armées sur les problématiques de cybersécurité. Il s’agit d’un véritable échange qui confronte le droit théorique et la mise en pratique. Cela nous a permis d’appliquer des règles, qui peuvent paraître très abstraites, à des situations très concrètes. Je suis également membre de l’Association française des correspondants à la protection des données à caractère personnel (AFCDP). Participer à ces initiatives est, pour moi, très intéressant et enrichissant.

AJ : En 2017, vous faisiez partie du comité Jeune pour la réforme de l’action publique 2022, en charge du groupe sécurité et justice, mis en place par le gouvernement. Faites-vous partie d’autres groupes de réflexion ?

A.I. : Pour le moment non, mais je participe à des conférences et j’écris des articles sur des sujets qui m’interpellent. En ce qui concerne le comité Jeune, cet épisode est intervenu au tout début de ma carrière. Le gouvernement d’Edouard Philippe voulait confronter le comité Senior à un comité Jeune, composé de jeunes actifs avec les mêmes questions visant à faire avancer les lois et la réglementation. J’étais dans le groupe traitant de la sécurité et de la justice qui n’était pas composé que de juristes. C’était très diversifié. On a partagé nos expériences pour formuler des recommandations. Un rapport a été remis au Premier ministre.

AJ : De quoi traitait votre dernière parution ?

A.I. : Je parle, dans ma dernière parution, de l’arrêt de la Cour de cassation de septembre 2021 qui reconnaît un droit d’accès à une victime d’accident de la circulation à ses données médicales. La Cour ne se fonde pas sur le RGPD mais sur le Code de la santé publique qui accorde un droit d’accès spécifique dans ce cadre-là. On parle parfois un peu trop du RGPD et on en vient à oublier les autres textes qui encadrent nos données, notamment les données de santé.

AJ : Êtes-vous d’accord pour dire que les algorithmes et la cybersécurité sont les enjeux de la future décennie ?

A.I. : Il s’agit de grands concepts traités au niveau européen, notamment avec le règlement sur les marchés numérique (Digital Markets Act – DMA) et le règlement sur les services numériques (Digital Services Act – DSA). Algorithmes et cybersécurité affectent notre quotidien et cela peut se voir dans les hôpitaux mais également dans les écoles, notamment lorsqu’on doit assigner une université en justice. Aujourd’hui, ce qui est important, c’est de ne pas se cacher derrière ces grands mots ; il faudrait essayer de les vulgariser afin de les comprendre et de s’en protéger. C’est pour cela que je suis entrée dans cette matière : pour comprendre. Il y a un véritable enjeu touchant à l’éducation et à la compréhension de ces phénomènes. Qu’est-ce qu’une donnée personnelle ? Comment la protéger ?

AJ : Les data semblent en effet ne concerner que les GAFAM. Or cela touche tout le monde…

A.I. : On peut se sentir démuni. Mais il s’agit de noter une information importante : le RGPD a mis en place l’action de groupe, qui existait déjà en droit de la consommation, et qui permet à plusieurs particuliers d’attaquer les grosses sociétés qui porteraient atteinte à leurs données. Nous avons d’ailleurs participé à l’une des premières actions de groupe dans ce secteur ; il s’agissait d’une action contre Facebook au sujet des cookies. Cette affaire est toujours en cours.

AJ : Pensez-vous que les données manquent de régulation ? Faudrait-il plus légiférer ?

A.I. : Au contraire, je dirais qu’il y a un trop-plein de textes ; en Europe il y a le RGPD, la directive ePrivacy ainsi que plusieurs textes qui parlent des données. En France, il y a la loi de 1978, à laquelle s’ajoutent tous les codes et les règles spécifiques. Et cela sans compter le soft law avec les recommandations de la Cnil. Il s’agit de trouver une cohérence dans tout cela et je ne pense pas que la solution soit de créer des choses nouvelles, une nouvelle loi, à chaque nouvelle innovation. Cela n’est pas possible. Il faudrait pouvoir prendre du recul, même si cela est délicat ; si on le prend, alors on ne régule pas ce qui émerge… On a conscience que la loi va moins vite que l’innovation. Ainsi, il faut trouver des bases communes. Je suis partisane de la mise en place de textes universels (le plus possible) et de revenir au régime de responsabilité classique. Il faut se pencher sur ce qui existe plutôt que de créer une nouvelle loi. On parle beaucoup de sociétés et de services qui disent utiliser de l’intelligence artificielle, par exemple ; on est, aujourd’hui, loin de cela. Il s’agit alors de bien qualifier et de bien définir les concepts avant d’entrer dans de grandes théories. Il faut donc revenir aux bases du droit.