Gestion des données personnelles : « pour un DPO dans chaque entreprise »

Quel est le regard de l'AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) sur le niveau de sensibilisation des entreprises quant aux questions de protection des données personnelles ?

Le degré de sensibilité est très variable, selon le profil de l'entreprise, le secteur d'activité, selon la masse de données traitée. Mais ce n'est pas toujours une question de taille. Certains profils de sociétés qui devraient être sensibilisés ont des manquements importants, comme des startups technologiques dont l'activité implique d'exploiter de grandes quantités de données. D'autres entreprises ont souvent comme difficulté de ne pas disposer des ressources humaines suffisantes pour gérer ces aspects.

Il subsiste globalement un problème de culture. On prend souvent le risque d'avoir une amende, car ce volet est vu comme quelque chose de punitif, comme une loi contraignante à respecter. Les décideurs ne sont pas toujours conscients que ce sont des enjeux de protection citoyenne, de protection des entreprises et de leurs salariés qui sont régulièrement victimes d'utilisation inadaptée, de détournements d'informations privées ou sensibles.

Le RGPD n'a-t-il pas changé les approches sur ce plan ?

Si, mais c'est insuffisant. Malgré ce grand pas en avant pour l'Union européenne, bon nombre d'organisations ne se sentent parfois pas concernées. Il existe même des cas de figure où un DPO n'est pas mis en place alors que c'est un poste obligatoire dans les collectivités territoriales, les hôpitaux, ou d'autres structures publiques. Certaines entreprises, qui manipulent en raison de leur activité un très grand nombre de données personnelles de citoyens, sont également soumises à cette obligation.

Récemment, la CNIL a été contrainte à sévir. Des mises en demeure ont été rendus publiques, notamment contre certaines communes de plus de 20 000 habitants qui n'ont toujours pas mises en place de DPO.

Cette fonction est nécessaire. Elle est là pour protéger aussi bien l'intérêt de l'entreprise que de ses salariés. C'est une position particulière. Si le DPO n'est pas obligatoire dans une écrasante majorité des entreprises, il est en revanche fortement recommandé. Il permet d'enclencher des démarches vertueuses, allant dans le sens de la conformité. Pour être en phase avec le RGPD, il apporte des conseils concrets sur ce qu'il faut faire. Il s'agit du bras droit du management et des métiers pour toutes les actions relatives à la protection des données personnelles.

Quels sont les grands défis à relever pour les prochaines années ?

Le RGPD a le mérite d'exister, mais de nombreux points font débat. Il laisse certaines libertés à l'appréciation des lois locales, ce qui est très contestable dans un mode hyperconnecté. Par ailleurs, les autorités de contrôle comme la CNIL ne réagissent pas forcément toutes de la même manière. Le CEPD, qui fédère les CNIL des 27 pays membres, vise actuellement à harmoniser les sanctions. En conséquence, la CNIL en France qui a été jusque là plutôt commode dans bien des cas de manquements, a vocation à être plus dur à l'avenir. Une sanction à l'égard du groupe hôtelier Accor a ainsi été relevée de 600 000 euros par rapport à la décision initiale.

Un autre grand défi concerne la sous-traitance. Un responsable achats doit veiller aux données personnelles. Si on est sous-traitant contractuellement, on n'est pas forcément sous-traitant en matière de données personnelles ; ça dépend si on utilise les données pour le compte du sous-traitant, ou pour le compte du donneur d'ordre. On demande parfois des garanties sur ce plan aux sous-traitants, alors que ce n'est pas justifié. Cela pose un problème, y compris au moment des appels d'offres où certains candidats sont écartés parce qu'ils ne remplissent les questionnaires relatifs à cet aspect, alors que dans bien des situations, il est tout à fait normal qu'ils ne s'en occupent pas. C'est là que le rôle du DPO est utile.

Que pensez-vous de la signature du décret américain qui a vocation à se rapprocher des exigences européennes en matière de protection des données personnelles ?

Les échanges hors de l'UE posent fatalement un problème dans ce domaine, et les Etats-Unis ne font pas exception. Le précédent « Privacy Shield » avait été annulé par la Cour de Justice, car les Etats-Unis ne sont pas à la hauteur des exigences européennes. Malheureusement, il n'y a pas grand-chose à espérer de cette nouvelle mouture du gouvernement Biden. La Commission européenne l'adoptera peut-être, mais elle sera ensuite vraisemblablement à nouveau rejetée, car pour autant les règles en vigueur aux Etats-Unis ne changent pas. Rappelons que les entreprises y ont le droit de traiter des données sans consentement de l'intéressé, ce qui est une différence fondamentale avec l'UE. Sur le Vieux Continent, la protection de la vie privée est un droit humain fondamental, alors que le quatrième amendement de la constitution états-unienne fait que seuls les citoyens américains sont protégés sur ce plan.