L’Association française des correspondants aux données personnelles (AFCDP) a organisé une conférence intitulée « Big Bang du RGPD », le 24 mai à Paris. Plus de 300 professionnels étaient présents à cet événement qui visait à saluer l’entrée en vigueur du Règlement général sur la protection des données personnelles (RGPD). L’occasion de rendre également hommage au Correspondant à la protection des données à caractère personnel ou CIL, pour Correspondant informatique et libertés. Instituée en 2004 pour faire appliquer et respecter la loi Informatique et Liberté, cette fonction a disparu dans la nuit du 24 au 25 mai, avec l’entrée en vigueur du RGPD, pour laisser place au Délégué à la protection des données (DPD).
Plus de 3 200 professionnels au sein de l’AFCDP
Cette étape a été soigneusement préparée. Les CIL ont ainsi vu leur fonction évoluer progressivement vers le métier de Délégué à la protection des données (DPD), également connu sous le titre de Data Protection Officer ou Data Privacy Officer (DPO), a rappelé lors de l’allocution d’ouverture de la conférence Paul-Olivier Gibert, le président de l’AFCDP. L’association compte plus de 3 200 professionnels. Les DPD y côtoient notamment des juristes, avocats, experts en ressources humaines, informaticiens et experts en sécurité, dont bon nombre travaillent au sein de grandes institutions comme l’Assemblée nationale, mais aussi des entreprises comme Carrefour, Casino, Legrand, Michelin, ou RATP. Autant d’entreprises qui ont pris un train d’avance sur leurs compétiteurs, estime le président de l’association.
Ne pas négliger le rôle des responsables de traitement et les sous-traitants
Lors de cette conférence, une saynète a permis aux participants de voir de manière ludique comment le RGPD modifie les rôles et les obligations entre responsable de traitement et sous-traitants. L’occasion de rappeler que l’AFCDP propose une place de marché accessible aux non adhérents qui vise à faciliter la rencontre entre offreurs et entreprises en recherche de prestataires. Par ailleurs, les participants ont pu assister à l’intervention de Gloria González Fuster, chercheur à la Vrije Universiteit de Bruxelles, consacrée à la notion de préjudice dans le droit européen des données personnelles. Le sujet a d’autant plus d’importance que le Parlement inscrit dans le droit français la possibilité pour les groupements de personnes d’attaquer en justice un responsable de traitement et de réclamer une indemnisation.
Eliane Kan
Quelles sont les différences entre le Cil et le DPD ? Bruno Rasle, délégué général de l’AFCDP fait le point :
Dans les grandes lignes, c’est le même métier, mais :
– Le DPO devient « quasiment » obligatoire, là où le CIL était facultatif
– Un responsable de traitement ne peut plus désigner qu’un seul DPO, alors qu’il lui était possible de désigner plusieurs CIL (un pour les traitements RH, un pour les traitements Clients-Prospects, par exemple)
– La « sclérose » qui empêchait la plupart des responsables de traitement français de désigner un CIL externe saute : depuis vendredi dernier, même une grande entreprise peut décider de désigner un prestataire (sur la base d’un contrat de prestation) et non un collaborateur
– Là où le CIL pouvait se « contenter » de ce qui lui était déclaré (« Oui, nous purgeons bien les données au bout de deux ans »), le DPO est contraint de « garantir », donc d’auditer ou de faire auditer (mais la majorité des CIL sérieux le faisait déjà)
– Le DPO ne dispose plus du « pouvoir d’alerte » auprès de la CNIL dont disposait le CIL
– Le DPO n’a pas l’obligation de présenter au responsable de traitement un bilan annuel, comme le CIL y était contraint par la loi (mais l’AFCDP a obtenu que cela soit conservé en tant que bonne pratique)
Une idée fausse à éviter : le DPO n’est pas plus « responsable » que ne l’était le CIL. C’est bien le responsable de traitement qui, au final, décide et endosse la responsabilité juridique.
J’entends régulièrement dire que le DPO aurait plus de « responsabilités » que ne l’avait le CIL : il faut sans doute entendre cela comme « Compte tenu du nouveau niveau de sanctions possibles, le DPO a encore moins le droit à l’erreur que le CIL », ce qui explique que nous ne listions sur notre site Web que les formations longues (on ne devient pas chirurgien après trois jours de formation…).
AFCDP.net
Commentez