Paul-Olivier Gibert : "Les Cil devront se mettre à niveau pour devenir DPO"

Le 08/01/2018 - Par Bruno Texier
"Certains considèrent que le DPO est un nouveau métier ; l'AFCDP estime qu'il s'agit plutôt d'une évolution." (Paul-Olivier Gibert)

Sommaire du dossier :

Paul-Olivier Gibert est président de l’AFCDP (Association française des correspondants à la protection des données à caractère personnel). Les entreprises seront-elles en conformité avec le Règlement européen sur la protection des données​ ? Les data protection officers sont-ils nommés ? Réponses.

Les entreprises françaises sont-elles prêtes pour le 28 mai 2018 qui marquera l'entrée en vigueur du RGPD ?

La situation est assez contrastée. Globalement, toutes les grandes entreprises ont lancé des programmes RGPD : il s'agit de projets assez récents qui ont moins d'un an. Nous constatons une dynamique forte de la préparation au RGPD qui varie cependant selon les entreprises et les secteurs.

Que pensez-vous de l'étude réalisée par le cabinet IDC selon laquelle, un an avant l'entrée en vigueur du RGPD, seulement 9 % des entreprises françaises se déclaraient conformes au RGPD ?

On peut lire ce chiffre de deux façons : soit les entreprises sont très optimistes, soit elles gèrent très peu de données à caractère personnel ! Nous constatons...

...des évolutions fortes dans la manière dont est gérée la conformité : on passe en effet d'une logique déclarative auprès des autorités nationales à une logique « d'accountability », c'est-à-dire une justification qu'on a bien mise en œuvre des obligations à suivre le règlement.

Ce seul changement justifie un travail très important.

A contrario, si l'on considère que 91 % des entreprises se jugent non conformes au RGPD à un an de son entrée en vigueur, et compte tenu de l'ampleur des changements, cela ne me semble pas absurde.

Les Cil (correspondants informatique et libertés) doivent-ils se mettre à niveau pour devenir DPO ?

Certains considèrent que le DPO est un nouveau métier ; l'AFCDP estime qu'il s'agit plutôt d'une évolution. Le DPO était largement en germe dans les Cil. Ces derniers devront bien évidemment faire un travail pour se mettre à niveau par rapport aux exigences du RGPD. D'abord parce que les techniques de régulation ne sont pas les mêmes. Ensuite parce que l'on va passer d'une désignation optionnelle à une désignation quasi obligatoire. La base du métier est dans la continuité : veiller à ce que la réglementation des données à caractère personnel soit respectée par l'organisation.

Aujourd'hui, comment réagissent les Cil à l'idée de devenir DPO ?

Nous constatons que c'est du côté du Cil que les entreprises vont rechercher une expertise de référent sur les questions liées à la protection des données personnelles. Le Cil a donc un rôle à jouer et une grande majorité de ceux qui sont membres de l'AFCDP a vocation à devenir DPO.

Quelles seront les missions des DPO ?

Leurs missions porteront sur le conseil, la vigilance, l'assistance et l'expertise auprès du responsable de traitement de façon à ce que celui-ci mette en oeuvre des dispositions prévues par le RGPD.

Concrètement, comment la fonction Cil va-t-elle évoluer en devenant DPO ?

Avec le passage de Cil à DPO, c'est la même fonction qui prend de l'ampleur. Alors que la fonction Cil pouvait s'exercer sur un temps partiel, il faudra probablement envisager le DPO sur un temps complet ou s'appuyer sur une équipe. L'une des difficultés du RGPD est d'adapter ce texte pour qu'il s'applique aux entreprises de 10 personnes comme à celles de 100 000 personnes. On peut très difficilement préconiser un schéma type ex cathedra.

Quel est le profil idéal des DPO ?

C'est une personne capable d'être à l'aise et efficace dans trois dimensions : juridique (il faut comprendre le règlement), technique (il faut savoir comment fonctionne un système d'information), management (il faut être capable de faire passer les messages sur le traitement des données personnelles). J'ajoute qu'à ce jour, cette fonction est exercée à parité par les hommes et par les femmes : et cela s'est produit de façon spontanée !

Quelle assistance l'AFCDP va-t-elle apporter aux DPO ?

Nous assistons les Cil depuis bien longtemps et nous suivons la préparation du RGPD depuis 2012. Nous disposons également d'un relais européen avec la CEDPO (Confederation of european data protection organisations). Nous fournissons aux membres de l'AFCDP un certain nombre de supports et organisons des réunions au rythme de trois à quatre par mois. Nous proposons également une entraide professionnelle où les membres peuvent trouver la réponse à une question auprès de leurs pairs. Notre prochaine université des DPO aura lieu à Paris le 24 janvier 2018.

À lire sur Archimag