Reportage de nos équipes à l’Université des DPO.
Le mercredi 24 janvier 2018 a eu lieu la 12e Université des DPO (ex-Université des CIL). Applicabilité imminente du RGPD oblige ! A 4 mois de la date d’applicabilité du RGPD, cet évènement, organisé par l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel), rassemble la profession. Cette année, une échéance plus présente que jamais, des sujets plus pointus et des experts passionnants. Voici notre retour sur cet évènement.
Un contexte complexe
Isabelle Falque-Pierrotin, Présidente de la CNIL rappelle que le texte du RGPD n’est pas parfait, car il est le fruit de compromis entre les Etats Membres de l’UE et porte le résultat de longues discussions. Ceci ne facilite pas son appropriation. Divers textes sont attendus pour le préciser, le plus attendu étant la nouvelle version de la Loi Informatique et Libertés (LIL). Thomas Andrieu, Directeur des affaires civiles et du sceau au Ministère de la Justice indique que, même si le texte n’en porte pas le nom, il est construit pour être un véritable « Code de la protection des données ». La nouvelle LIL devrait être publiée au Journal Officiel en avril car elle passe par un processus accéléré, nous assurent Mme Falque-Pierrotin et M. Andrieu. Ce dernier nous précise également que le décret d’application est en cours de rédaction et sera publié avant le 25 mai 2018. Les ordonnances suivront ensuite.
Outre la nouvelle LIL, c’est le règlement e-Privacy (qui remplacera l’actuelle Directive e-Privacy) qui semble constituer la prochaine avancée majeure pour la protection de la vie privée au travers des communications électroniques. Anna CIESIELSKA, Policy Officer à la Commission Européenne nous présente un état des lieux et nous indique que le règlement e-Privacy traitera bien des services de contournement (OTT - Over The Top), comme WhatsApp et Skype, ce que la Directive ne fait pas actuellement. Le règlement e-Privacy s’appuiera largement sur le RGPD dès que possible notamment sur les mesures de sécurisation des données. Comme pour le RGPD, les contrôleurs de l’application de ce texte seront les autorités de protection des données : la CNIL et ses homologues.
Le DPO, chevalier de la protection des données
Le DPO (Data Protection Officer), rendu obligatoire dans certains cas décrits dans le RGPD est actuellement une ressource recherchée. Paul-Olivier Gibert, Président de l’AFCDP nous montre la nette progression d’ouverture de postes. Au 4ème trimestre 2017, 158 postes étaient recensés sur le Job Board de l’AFCDP. Le Dr Hajjar, DPO du CHU de Bordeau nous indique que 13 CIL/DPO sont officiellement désignés sur une trentaine de CHU en France. La demande en DPO semble supérieure aux profils disponibles, les cabinets permettent donc d’externaliser cette compétence en proposant des services de DPO externe / mutualisés. A ce titre, M. Andrieu confirme qu’un DPO externe pourra être un DPO « personne morale ». Quelle que soit l’option choisie, les désignations de DPO devront être réalisées via le site de la CNIL à partir de mars 2018, comme le confirme Mme. Falque-Pierrotin.
La nouvelle LIL ne donnera pas de précision sur le rôle ou le statut de DPO, car le RGPD adresse déjà ce point, nous indique M. Andrieu. Il insiste sur la notion d’indépendance et pense qu’il est possible d’être indépendant sur ses tâches de DPO tout en recevant des directives du Responsable de Traitement sur d’autres tâches, comme pour la tenue du registre de traitement. Dans tous les cas, il devra être proche des métiers, précise Mme Falque-Pierrotin. Quant à son positionnement, il fait débat. Les textes indiquent qu’il doit rapporter au plus haut niveau de l’entreprise. Mais ne faut-il pas se concentrer sur sa capacité à remplir ses missions plutôt qu’à son positionnement hiérarchique ? C’est la question que nous pose le Dr Hajjar. Il poursuit en nous indiquant que de plus, il lui faudra trouver sa place, car historiquement, les tâches du DPO sont réparties sur des acteurs déjà en place comme la Direction juridique et le RSSI.
Un mot d’ordre : la collaboration
La conformité au RGPD est un sujet transverse, qui nécessite l’investissement de toutes les équipes. Nous le vivons au quotidien chez Claranet, que ce soit dans nos échanges avec les Clients, sur notre rôle de sous-traitant ou bien dans la mise en conformité de nos traitements internes.
Le Dr. Hajjar rappelle à juste titre que les sujets RGPD sont collaboratifs, cela passe en premier lieu par la collaboration entre le RSSI et le DPO. En effet, ils ont un regard complémentaire sur un mêmes sujet, Denis Virole d’Ageris Group nous explique à ce titre que dans le cadre de la réalisation des Analyses d’Impact sur la Vie Privée (AIVP), on passe des traditionnelles analyses d’impact pour l’entreprise à ceux sur les personnes concernées. Et pour analyser ces fameux impacts sur les personnes, une forte collaboration et concertation des acteurs est primordiale.
Enfin, Anne-Sophie Casal et Pierre Debary de Digitemis prennent l’exemple collaboratif de la création d’une application ou d’un Système d’Information : il est important que l’ensemble des parties prenantes réfléchissent aux durées de conservation et à leur justification dès le départ et appliquent les principes du privacy-by-design afin de mettre en place des mécanismes de sauvegarde et de purge automatique.
Le 25 mai, ce n’est pas la fin, c’est le début !
On ne le dira ou écrira jamais assez, « le 25 mai n’est pas un couperet », rappelle Mme Falque-Pierrotin. Ce qui est repris sous différentes formes par les experts intervenants. Ainsi, le Dr. Hajjar nous indique que l’erreur à ne pas faire est de penser qu’on sera prêts au 25 mai. Denis Virole nous rassure sur le fait que le niveau « final » de maturité présenté est un objectif, et qu’il n’est probablement pas atteint dans l’immédiat, sans que cela ne soit dramatique. Enfin, Anne-Sophie Casal et Pierre Debary assurent que si on ne peut pas être conforme à 100%, il est important d’être en capacité de montrer qu’on a lancé les sujets et mis les efforts nécessaires, notamment concernant le respect des durées de conservation et la purge des données à réaliser.
Si les DPO et experts sur le sujet partagent cette vision, ce n’est pas encore le cas de tous. La Présidente de la CNIL déplore le relai d’un certain pessimisme vis-à-vis du RGPD. Elle assure qu’il est possible d’autoriser et de moderniser, sans faire pour autant de concession sur les attentes en termes de confiance ou les demandes de garanties des personnes concernées. Selon elle, il faut s’emparer du RGPD au bénéfice des citoyens français et plus largement européens, plutôt que le subir comme une contrainte.
Par Adèle Adam, DPO et Louis Muller, juriste.