Stratégie

L'AFCDP proclame l'indépendance des DPD (DPO)

Paul-Olivier Gibert, président de l'AFCDP, structure son association pour accompagner la dynamique des DPD (photo AFCDP).

Les délégués à la protection des données, les DPD, pivots du RGPD, veulent bétonner leur indépendance.

PublicitéLa France a besoin de 80 000 DPD, Délégués à la protection des données (le terme anglais de DPO, Data protection officer étant plus souvent utilisé). Elle compte 4 900 CIL, Correspondants informatique et libertés, qui ont vocation à devenir des DPD. Un métier en forte croissance, c'était le fil rouge de l'Université de l'AFCDP, Association française des correspondants à la protection des données à caractère personnel, mercredi 24 janvier 2018.

Point principal, l'AFCDP veut réaffirmer l'indépendance des DPD. Les orateurs l'ont rappelé en insistant, en particulier Thomas Andrieu, Directeur des affaires civiles et du sceau au Ministère de la Justice : « le Règlement suffit pour répondre, l'article 38.3 précise que le délégué ne reçoit aucune instruction ». C'est écrit, clair et net, la loi française n'a donc pas à préciser à nouveau ce point, malgré les inquiétudes sur l'autonomie réelle du DPD par rapport au responsable du traitement des données, qui appartient à la DSI. Le DPD est bien le référent unique pour le RGPD vis-à-vis de l'Autorité qu'est la CNIL ou tout autre organisme ou direction, interne comme externe.

La fonction de DPD est pourtant très disputée dans les entreprises ou les administrations concernées. Le CIL se sent une vocation irrépressible à devenir DPD, ce que le RSSI, le responsable informatique des données, ou d'autres acteurs sont tentés de lui disputer. Le Règlement étant particulièrement clair, le débat n'a pas lieu d'être, le DPD est forcément indépendant. A la CNIL et à L'AFCDP de faire preuve de pédagogie pour clarifier et imposer le statut du DPD.

Recruter et former en urgence

L'autre élément de fragilité du DPD (ou de « la » DPD, la profession étant très féminisée), c'est Le chiffre de 80 000 postes à pourvoir qui peut faire peur. L'AFCDP met les bouchées doubles pour que la profession recrute et forme. Elle a lancé un job board pour les DPD et uniquement pour eux, les consultants sur le sujet sont écartés. Ce site est accessible gratuitement. Les emplois proposés (70 en décembre) sont presque tous des CDI se félicite Bruno Rasle, le délégué général de l'Association, qui se rapproche de tous les organismes dispensant des formations longues en protection des données pour les sensibiliser à la dynamique de recrutement. L'Association lance également une enquête pour observer les salaires dans la profession.

Conçue pour accueillir les CIL, Correspondants informatique et libertés (créés en 2004) et tous ceux qui s'intéressent au sujet, l'Association développe leurs successeurs naturels : les DPD ou DPO. Si l'AFCDP était une entreprise on parlerait de dynamique de marché. Le nombre d'adhérents (individuels ou institutions) atteint les 900 (représentant plus de 2600 professionnels), précise Paul-Olivier Gibert, président de l'AFCDP. La Maison de la Chimie affichait complet mercredi avec 700 participants, 40% de plus que l'an passé. L'Association se structure pour encadrer cette dynamique. Elle a mis sur pied un espace de marché entre professionnels sur les contrats de prestation. Avec ses nouveaux adhérents, elle bénéficie de moyens supplémentaires, indispensables pour amorcer sa propre transformation en passant des CIL aux DPD. L'Association a recruté trois permanents.

PublicitéElle veut aussi renforcer sa visibilité. Le conseil d'administration se débrouille pour répondre à toutes les sollicitations des commissions parlementaires. La CNIL la mobilise avec un rendez-vous trimestriel. En Europe, l'AFCDP pousse ses feux, avec la création de la CEPDO, Confédération of European Data Protection Organisation, mise sur pied avec trois de ses homologues : la GDD allemande, la NGFG hollandaise et l'APEP espagnole. Cette CEPDO participe à un groupe d'experts chargés de conseiller la Commission européenne sur l'application du RGPD. L'AFCDP dispose d'un collaborateur à Bruxelles.

Allemagne : une organisation très éclatée

D'autres pays ont une pratique différente, en particulier l'Allemagne, témoignait Tabea Riedel de l'Autorité de contrôle et de protection des données personnelles pour la Bavière (Das Bayerische Landesamt für Datenschutzaufsicht, BayLDA). L'Allemagne compte des Autorités de contrôles fédérales et d'autres par Länder, dix-huit au total. Mais certains Länders comme la Bavière en comptent deux, une pour le secteur privé, l'autre pour le secteur public, et dans deux villes différentes, Münich pour le public, Ansbach pour le privé. Une Conférence nationale s'occupe du secteur privé, tandis que le cercle Düsseldorf est son équivalent pour le public. Il reste à cette organisation très éclatée à désigner un interlocuteur pour Bruxelles, capable de représenter tout le monde et de répercuter et vérifier la bonne application des décisions communautaires.

L'intérêt du RGPD est son aspect européen, son application dans tous les pays de l'Union. Les configurations très disparates entre Autorités des différents Etats ne vont pas faciliter les choses. Les entreprises, comme les administrations ou les clients et usagers ont besoin d'une application générale et homogène du Règlement. Or, ce dernier est un « faux Règlement » souligne Thomas Andrieu. Un Règlement européen ne nécessite pas de transposition, sauf que le RGPD compte une cinquantaine de marges d'explication, prévues par la Commission, que les législateurs locaux peuvent travailler. Le Gouvernement français par un projet de loi, la CNIL et le Conseil d'Etat par un avis ont préparé l'examen de ces cinquante points.

Autre élément de perturbation, rappelé lors de l'Université de l'AFCDP : la loi du 18 novembre 2016 de modernisation de la justice du 21ème siècle (J21). Elle précise que les actions de groupe sont possibles sur les données personnelles. Et plusieurs associations activistes se préparent à attaquer des entreprises, donc leurs DPD fraichement nommés, dès le 26 mai prochain. Bienvenue aux DPD dans le monde enchanteur du RGPD.