L’entrée en application du Règlement Général sur la Protection des Données (RGPD) en mai 2018 a été perçue dans le monde professionnel aussi bien que par le grand public comme un évènement, braquant les projecteurs sur une profession peu connue, celle de DPO (Data Protection Officer). Quelques mois plus tard, les chiffres donnent raison à cette attention : une forte hausse des plaintes déposées auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), passant de 1 780 à 2 770 plaintes sur la même période entre 2017 et 2018, un total de 500 000 euros d’amendes déjà infligés par la Commission depuis le début de l’année, et une explosion du nombre de professionnels dédiés à la conformité et à la protection des données. En début d’année, lors de l’Université 2018 des DPO organisée par l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel), Isabelle Falque Pierrotin, présidente de la CNIL, avait estimé à 80 000 le nombre d’organismes concernés par la désignation obligatoire de DPO.
Parmi ces nouveaux DPO, on retrouve bien sûr de nombreux anciens CIL (Correspondants Informatique et Libertés), qui avaient déjà entamé la préparation au RGPD de l’organisme qui les avait désignés, et de nouveaux arrivants. Parmi eux, quelques faux experts improvisés, dont les messages alarmistes ont obligé la CNIL à mener une campagne #StopArnaque. Une Charte de déontologie du DPO, formalisée par la profession, permet aux professionnels de prendre quelques engagements forts et de rassurer les responsables de traitement.
En effet, le métier est exigeant, car il requiert des capacités humaines (pour sensibiliser et convaincre) et analytiques (pour comprendre un ensemble de textes juridiques et maîtriser les subtilités des systèmes informatiques). Les personnes compétentes sont très recherchées, le plus souvent sur des contrats rémunérateurs et en CDI, comme le prouvent les nombreuses offres d’emplois postées sur le Job Board gratuit proposé par l’AFCDP. Le nombre des formations longues diplômantes a également augmenté, dont plusieurs nouveaux Diplômes universitaires.
Les DPO ont parfois pris leurs fonctions dans des organismes où la protection des données n’était qu’embryonnaire, malgré l’ancienneté des règles qui devaient être respectées depuis… 1978. Un sens inné de l’organisation est primordial : dans l’impossibilité de se mettre instantanément en conformité sur tous les points, il faut prioriser certaines tâches. L’urgence est de disposer d’une bonne cartographie, précise et à jour, des traitements de données personnelles mis en œuvre par l’organisme. Elle permet de constater les points forts ou faibles de l’entreprise sur ce sujet, d’identifier les interlocuteurs clefs, ainsi que de hiérarchiser les traitements selon leur sensibilité pour les personnes concernées.
Plus exigeant que l’ancienne loi Informatique et Libertés, le RGPD peut également « challenger » les professionnels au regard de certaines nouvelles exigences : ainsi la réponse aux demandes de droit d’accès qui doit désormais se faire dans un délai d’un mois (sauf exception) au lieu de deux. Mais c’est surtout la notification de violations de données personnelles qui exige une préparation rigoureuse, celle-ci devant être faite auprès de l’autorité de contrôle dans le délai imparti de 72 heures.
Outre un sens certain de l’organisation et une bonne résistance au stress, le Data Protection Officer doit se montrer patient et tenace. En effet, il lui faut attendre de disposer d’un corpus de textes complet, avec les lignes directrices les plus récentes du Comité Européen de la Protection des Données traduites en français, et le « Code de la Protection des Données Personnelles » censé synthétiser tous les textes nationaux sur la protection des données d’une manière claire et lisible. Il manque également des décrets d’application, dont celui qui listera les responsables de traitement autorisés à traiter le numéro de sécurité sociale (et pour quels usages).
Les DPO se retrouveront à Paris le 16 janvier 2019, à l’invitation de l’AFCDP, l’association qui les regroupe et les représente, pour dresser un bilan des premiers mois du RGPD et partager expériences, difficultés et projets.
Paul-Olivier Gibert
Président de l’AFDP
A propos de l’AFCDP
L’AFCDP, créée dès 2004, regroupe plus de 1.300 membres et 3.700 professionnels de la conformité RGPD et Informatique et Libertés dont les Délégués à la Protection des Données (ou DPO, pour Data Protection Officer).
Si l’AFCDP est l’association représentative des DPD, elle rassemble largement. Au-delà des professionnels de la protection des données et des DPD désignés auprès de la CNIL, elle regroupe toutes les personnes intéressées par la protection des données à caractère personnel. La richesse de l’association réside – entre autres – dans la diversité des profils des adhérents : DPD, délégués à la protection des données, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.
