« L’appréciation du rôle du DPO a évolué » (entretien)
L’association des délégués à la protection des données, l’AFCDP, fête ses 20 ans. À l’occasion de cet anniversaire, son président, Paul Olivier Gibert, revient sur les grandes évolutions de la réglementation et du profil des DPO.
LeMagIT : Comment le rôle et les responsabilités des DPOs ont-ils évolué depuis la création de votre association (avec le RGPD en particulier) ?
Paul Olivier Gibert, président de l’AFCDP : Il y a eu une très grosse évolution. L’association a été créée au moment de la transposition en droit français de la directive européenne qui créait le « Correspondant Informatique et Libertés » [N.D.R. : 95/46/CE sur la protection des données personnelles].
Le « CIL » n’était alors pas obligatoire, mais cette organisation pour la protection des données s’est rapidement, et largement, imposée.
En 2016, avec le RGPD – qui est entré en vigueur en 2018 – la désignation d’un Délégué à la Protection des Données (DPO) – le successeur du CIL – est devenue obligatoire pour certains types d’acteurs et de traitements de données à caractère personnel.
Paul Olivier GibertPrésident de l’AFCDP
Le RGPD a précisé les obligations et modernisé la réglementation autour de l’utilisation des données à caractère personnel. On a alors constaté que les attentes se précisaient et que les désignations de DPO s’affinaient.
Le rôle des DPO a aussi pris de l’importance vu les sanctions financières imposées par le RGPD qui vont jusqu’à 20 millions d’euros ou 4 % du CA (c’est le chiffre le plus élevé qui est retenu).
Donc, il y a eu une évolution extrêmement forte en 20 ans.
LeMagIT : Et votre association, l’AFCDP, comment a-t-elle évolué en 20 ans ?
Paul Olivier Gibert : Elle aussi, elle a fortement évolué.
En 2004, nous étions un petit groupe de quelques dizaines de membres. Progressivement, nous avons mis en place une organisation pour réaliser des travaux sur les bonnes pratiques à mettre en œuvre… ou à ne pas mettre en œuvre. Vingt ans plus tard, l’AFCDP a bien grossi. Plus de 6 250 personnes physiques participent à ses travaux.
Nous sommes devenus un interlocuteur reconnu de la CNIL, des autorités publiques (parlementaires, etc.), et des associations industrielles notamment. Ils considèrent en effet tous que nous sommes en mesure d’apporter quelque chose d’utile à l’application de la réglementation. Nous répondons à leurs attentes en remontant les difficultés, ou les succès, que nos membres rencontrent dans la mise en place de ces règles.
Paul Olivier GibertPrésident de l’AFCDP
Nous avons aussi beaucoup travaillé pour être bien structurés. Nous avons sept salariés. Ils s’occupent à la fois du support administratif et d’encadrer les travaux des adhérents.
Tout cela se traduit aujourd’hui par une activité très forte avec pratiquement une réunion par jour – dont une par mois qui dépasse les 150 personnes –, un réseau social (Agora), deux gros événements par an (« l’Université des DPO », avec un millier de personnes, et notre Assemblée générale avec 500 personnes), ou encore des rencontres avec la CNIL tous les trimestres, dont une ou deux fois par an avec sa présidente.
Sur 20 ans, l’AFCDP s’est construite de cette façon. Nous ne cherchons pas à être monopolistiques, mais à fournir aux adhérents les moyens pour qu’ils puissent travailler, de manière efficace et conviviale sur la production de « livrables » – des papiers qui explicitent la manière de traiter tel ou tel problème (le DPO mutualisé, ou l’évaluation HAS pour le médico-social, par exemple) – et sur la manière de les transmettre.
LeMagIT : Travaillez-vous aussi sur l’outillage ?
Paul Olivier Gibert : Non. Nous n’avons pas vocation à fournir des préconisations sur les outils, comme ceux pour la tenue de registre ou d’audit par exemple. Ce n’est pas notre logique. D’autant plus que l’outillage est important, certes, mais il n’est peut-être pas au cœur du métier. On peut être un bon DPO avec de l’Excel.
Paul Olivier GibertPrésident de l’AFCDP
Après, il est vrai que des outils spécifiques plus poussés qu’Excel sont de plus en plus utilisés. Mais une fois encore, ce n’est pas le principal enjeu. Et ces outils ne sont de toute façon pas aussi structurants que d’autres applications métiers (comme un CRM).
Je dirais que l’on peut même inverser la problématique. La DSI peut être amenée à fournir des outils au DPO ; et parfois, il y a des outils plus génériques déjà déployés qui peuvent répondre aux besoins des DPOs. Mais la DSI est surtout un interlocuteur du DPO, parce que des contraintes qui relèvent des systèmes d’information ont des conséquences sur l’utilisation des données.
Nous travaillons donc plus sur la logique de collaboration que d’outillage. C’est cette logique qui permet de s’assurer que les enjeux de sécurité et de transparence (où et comment sont traitées les données) sont bien pris en compte et mis en œuvre. Ce sont des sujets plus centraux.
LeMagIT : Quel est le profil type du DPO aujourd’hui ? A-t-il lui aussi évolué ?
Paul Olivier Gibert : Oui. Des études sont réalisées régulièrement avec le ministère du Travail sur le métier de DPO. On voit que le métier s’est un peu « seniorisé ».
Paul Olivier GibertPrésident de l’AFCDP
Il y a 3 ou 4 ans, il n’était pas rare que de jeunes diplômés soient nommés DPO (y compris dans de grosses structures). Ce sont des choses que l’on voit moins actuellement.
LeMagIT : Comment l’expliquez-vous ?
Paul Olivier Gibert : On en revient au point précédent : parce que l’appréciation du rôle du DPO a évolué. Les entreprises ne peuvent plus se contenter d’une connaissance purement universitaire du RGPD et du droit en général.
Il faut aussi être capable de comprendre comment fonctionne une organisation, et cela demande de l’expérience pour prendre ses marques face à plusieurs fonctions métiers.
LeMagIT : Du coup le DPO « moderne » est-il plus un juriste, plus un manager, ou plus un expert IT ?
Paul Olivier Gibert : Les trois ! Un bon DPO comprend le droit. Il comprend aussi les enjeux et les contraintes du fonctionnement de l’entreprise. Et il comprend comment fonctionne un système d’information. Il est en position de faire la synthèse des trois pour proposer des mesures à la direction.
Quant à leurs « origines », ils viennent majoritairement du droit et de l’IT. Mais dans tous les cas, ils doivent s’ouvrir pour comprendre d’autres domaines que leur spécialité de départ.
LeMagIT : Quels sont les défis auxquels ces « nouveaux DPOs » sont et vont être confrontés ?
Paul Olivier Gibert : Un des grands défis est de gérer la montée en exigence vis-à-vis de leurs fonctions – je le redis, mais le DPO est au cœur d’un enjeu financier à plusieurs millions d’euros.
Paul Olivier GibertPrésident de l’AFCDP
Il faut aussi gérer des points de blocage avec certaines équipes.
Et une grande nouveauté – et un autre grand défi – c’est la révolution de l’IA. Le DPO est au centre des projets dès qu’il y a des données à caractère personnel qui sont concernées. Et bien souvent, il y en a.
LeMagIT : Du coup, avec ces défis, comment voyez-vous les 20 prochaines années de l’AFCDP ?
Paul Olivier Gibert : Déjà, je dirais que quand nous avons fêté les 10 ans de l’AFCDP en 2014, je ne savais pas si nous fêterions les 20 ans. Aujourd’hui, je pense qu’avec les évolutions dont nous venons de parler, on peut se projeter dans 20 ans.
Nous produisons et nous utilisons de plus en plus de données personnelles. Notre vie est de plus en plus marquée par ces éléments numériques. Il y a une réglementation qui protège de plus en plus les individus contre une utilisation abusive de ces données. Et il y a une demande sociale très forte de protection des droits et des personnes face à l’informatique, au numérique, et demain à l’IA. Il y a plus d’enjeux sur la protection des données personnelles aujourd’hui qu’en 1978, quand la première loi informatique et liberté a été votée.
Et le DPO est une partie de la réponse à tout cela.
Un autre signe, c’est le nombre de nos réunions qui a augmenté de plus de 50 % par rapport à l’année passée. Il y a une forte demande de travaux.
Donc il y a de très bonnes raisons de penser qu’on fêtera les 40 ans de l’AFCDP.