“Le RGPD a mis en place un système vertueux”
L’Association française des correspondants à la protection des données à caractère personnel (AFCDP), créée en 2004, regroupe plus de 6 000 personnes, délégués à la protection des données (DPO pour Data protection officer) et personnes en charge de la conformité au Règlement général sur la protection des données (RGPD). Le point avec Nicolas Samarcq, administrateur à l’AFCDP, trésorier et fondateur du groupe de travail sur les données de santé.
Quatre ans après l’entrée en application du RGPD, où en est-on ?
Nicolas Samarcq. Les organisations matures en matière de protection des données ont constitué ou consolidé leur registre des activités de traitement dès 2018. C’est le premier travail du DPO, dans lequel il identifie et cartographie l’ensemble des traitements de données personnelles mis en œuvre. Sans lui, le DPO est aveugle.
A partir de ce document, les DPO ont bâti et mis en œuvre leur gouvernance RGPD, en s’appuyant sur deux piliers : la politique interne de protection des données et la politique des durées de conservation. A l’inverse, certaines organisations n’ont toujours pas démarré, c’est une réalité.
L’AFCDP a mis en place il y a un peu plus d’un an un baromètre trimestriel sur la confiance des DPO dans la conformité au RGPD de leur organisation. Lors de la 5e édition publiée en mai dernier, seulement 30 % des répondants se disaient confiants et écoutés en interne. 43 % estimaient qu’il restait beaucoup de chemin à faire, et 22 % que leur mise en conformité était perturbée par le contexte réglementaire changeant.
On a aussi remarqué que l’année 2021 a été l’année des PIA, les Privacy Impact Assessment (Analyses d’impact relatives à la protection des données). Ces analyses sont rendues obligatoires par le règlement pour tous les traitements présentant un risque élevé pour les personnes concernées (dossier médical, vidéoprotection, profilage …). Cela a été un chantier prioritaire, notamment dans le secteur de la santé, les mutuelles…, et ça se poursuit en 2022.
Comment a évolué le rôle et la perception des DPO ?
N. S. Les conditions d’exercice de la fonction restent disparates et les moyens alloués aux DPO, même s’ils ont augmenté, sont très hétérogènes. Cependant, le rôle et la reconnaissance du DPO ont progressé et on note plusieurs avancées positives. D’abord, pour appliquer leur gouvernance des données, les DPO se sont outillés. L’offre logicielle s’est diversifiée et les DPO peuvent désormais trouver le bon produit en fonction de leur besoin.
Ensuite, même si le DPO éprouve encore des difficultés à faire comprendre les enjeux et le caractère chronophage de sa mission, son statut est désormais mieux reconnu, tout comme l’importance de la protection des données. Les DPO obtiennent par exemple plus facilement aujourd’hui des budgets sur des actions de sensibilisation de l’ensemble des collaborateurs. Le RGPD a mis en place un système vertueux dans l’amélioration continue de la conformité et de la protection des données.
Enfin, dans certains domaines d’activités, comme la santé, l’assurance ou encore le retail, la conformité au RGPD devient un argument concurrentiel lors des appels d’offre. On observe cette tendance de fond depuis un peu plus de deux ans, même si elle demeure encore modeste.
Quels sont les enjeux à venir pour la protection des données personnelles ?
N. S. A court terme, le cas Google Analytics [la Cnil a jugé non-conforme au RGPD l’utilisation de l’outil statistique et mis en demeure plusieurs sociétés qui l’utilisent], en fonction des secteurs, crée des problématiques de prise de position du DPO face aux directions digitales ou de e-commerce. Il doit être en position de juriste expert et stratège et accompagner les métiers dans l’analyse du risque afin de prendre les meilleures décisions.
Seuls un changement de législation aux États-Unis ou un nouvel accord transatlantique pourraient permettre d’être en parfaite conformité avec le RGPD. Un accord de principe a été annoncé le 25 mars, mais l’incertitude subsiste sur la réalité d’un Privacy Shield II opérationnel à court terme et sur ses chances d’échapper à la censure de la CJUE.
A plus long terme, on pense aussi au déploiement en masse des algorithmes et de l’IA qui vont s’inviter dans l’ensemble des outils qu’on utilise au quotidien. Le DPO sera ainsi confronté à des analyses de cartographie et de conformité des traitements de données de plus en plus complexes où des problématiques liées à l’éthique devront être débattues au sein d’équipes pluridisciplinaires.
Article extrait du n° 583 de Face au Risque : « OVH, Quelles leçons ? » (juin 2022).
Gaëlle Carcaly – Journaliste
Les plus lus…
De nombreuses entreprises travaillent encore avec d’encombrants bacs de récupération d’huile. Or, les tapis textiles flexibles offrent les mêmes fonctionnalités…
Dans un contexte de raréfaction de l’eau, la sécurisation des infrastructures prend une dimension de plus en plus importante,…
My Keeper a mis en service le 1er janvier 2024 sa nouvelle solution SecurIT, la dernière génération de balises connectées…
MMA présente un outil de cartographie des expositions des entreprises aux risques climatiques et technologiques. Covisiomap permet de détecter et…
Souchier, spécialiste des systèmes de désenfumage naturel architectural et marque de la société Souchier-Boullet, filiale du Groupe ADEXSI, propose Lamlight…
Spécialiste de la chaussure de sécurité depuis plus de quarante ans, Parade Protection, filiale du Groupe Eram, commercialise son nouveau…
