">

Devant plus de 150 experts de la protection des données (dix pays représentés), le "CIL du futur" s’est dessiné.

Les "grandes" questions étaient au centre des débats : Que faire pour qu’il y ait plus de délégués ? La piste de l’obligation est-elle la bonne ? Va-t-on vers une harmonisation au niveau européen ? Peut-on rêver d’un "CIL européen" ? Quel est le meilleur statut pour le Correspondant Informatique et Libertés ?

- 

Bonus

Par faute de temps, l’interview spécialement enregistrée par Mme Nuala O’Connor, Senior Counsel Information Governance & Privacy de GE, et Vice Présidente de l’IAPP (International Association of Privacy Professionals) pour ces 5èmes Assises AFCDP n’a pu être diffusée. Découvrez la transcription de ses propos !

- Supports des présentations et transcription des débats

Les Assises de l’AFCDP ont à nouveau bénéficié de la présence de Monsieur Alex Türk. Le Président de l’autorité de contrôle Luxembourgeoise, Monsieur Gérard Lommel, nous a également honorés de sa présence.

Une semaine après la parution du remarqué rapport du Sénat ("La vie privée à l’heure des mémoires numériques"), le Président de la CNIL et Président du Groupe Article 29 a martelé une nouvelle fois son message à destination de certaines organismes (notamment les collectivités et les banques) qui n’ont pas (encore ) opté pour le régime du CIL.

Le responsable du Service des Correspondants à la CNIL, Monsieur Mathias Moulin a pour sa part indiqué que ses "meilleurs VRP étaient les contrôles et les sanctions" et qu’il observait une claire relation entre les courbes de désignation des nouveaux CIL et les décisions de la commission restreinte.

La professionnalisation de la fonction de Correspondant Informatique & Libertés a été très favorablement commentée par M. Moulin : "Nous avons la confirmation de l’apparition d’un vrai métier, doublée de la création d’une offre de service. La fédération des CIL au sein de réseau, comme l’AFCDP dont je note la montée en puissance, témoigne de la structuration de cette nouvelle profession".

Si Mathias Moulin accepte les différences d’implémentation du délégué entre les états membres ("différences qui témoignent de nos cultures"), il insiste sur l’impératif besoin de formation : "Le CIL assoit sa crédibilité sur sa compétence. Il est donc indispensable qu’il se forme, aussi bien au moment de sa désignation que par la suite".

Xavier LeclercLe délégué général de l’AFCDP, Xavier Leclerc, a d’ailleurs révélé quelques résultats d’une étude menée auprès des CIL membres de l’association : 63% des personnes interrogées pensent qu’un contrôle de connaissance est primordial.

La CNIL réfléchit d’ailleurs à utiliser son pouvoir de labellisation dans ce domaine.

La table ronde inaugurale, animée par Me Alain Bensoussan, a donné l’occasion d’y voir plus clair. Me Pascale Gelly a présenté une synthèse des points communs et des différences entre les délégués européens.

Qui savait que Hongrie, Slovaquie et Estonie avaient opté pour le Délégué à la protection des données avant la France ? Qui savait que la Suède compte plus de 3.500 délégués ? Qui savait que le délégué néerlandais dispose de pouvoirs quasiment équivalents à ceux de l’autorité de contrôle ?

Pascale nous a ainsi fait découvrir qu’il fallait être "fiable" en Allemagne, "digne de confiance" aux Pays-Bas et "intègre" en Slovaquie pour devenir Délégué à la protection des données personnelles ;-) Mme Catherine Leverrier (CIL de Groupama) et Mme Patricia Jonason (Suède)

Mme Bojana Bellamy représentait l’IAPP, association internationale avec laquelle l’AFCDP a récemment resserré ses liens, et a obtenu l’assentiment d’une partie de la salle quand elle a déclaré qu’il fallait "le cerveau d’une femme pour être Chief Privacy Officer".

- Interviews réalisées à l’occasion des 5èmes Assises du CIL

La table ronde de clôture, animée par M. Gérard Lommel, Président de l’autorité de contrôle Luxembourgeoises (de nombreux représentants Belges et Luxembourgeois avaient spécialement fait le déplacement pour assister à cette conférence de haute tenue), a synthétisé les enseignements de la journée :

- Les choses ne peuvent rester en l’état : Les quelques milliers de CIL désignés peuvent témoigner de l’intérêt de la formule, reste à convaincre les responsables de traitements...

- Bravo à la France (et à l’actuel Président de la CNIL) pour "être montée dans le premier wagon" et avoir opté pour la formule du délégué lors de la refonte de la loi en 2004 : Beaucoup de choses apprises, d’expérience accumulée... Que dire des états membres qui n’ont pas fait ce choix ? Ils ont pris du retard et rencontreront peut-être quelques difficultés si le DPO devient "obligatoire".

- Améliorer oui, mais en choisissant quelle voie ? Si le Président Türk incite à l’obligation, le volontariat présente une belle vertu : celle de donner l’opportunité aux entreprises de montrer leur éthique et leur bonne gouvernance (facteur de différentiation et levier pour bâtir la confiance). Le Président Lommel semble préférer une optimisation de la formule actuelle, en conservant une certaine flexibilité, et plusieurs vraies pistes d’amélioration ont été évoquées durant la journée. Il est vrai que pour le secteur public, l’obligation est sans doute la seule qui serait efficace.

Le CIL n’est pas seul. L’AFCDP avait pris soin d’inviter les représentants des CPO (Chief Privacy Officer), qui se sont exprimé par la bouche de Mme Bellamy, membre du board de l’IAPP, tandis que les DSI, RSSI, Risk Manager, déontologues et professionnels de la conformité et de l’audit étaient représentés lors d’une passionnante table ronde animée par M. Gibert, Président de l’Association.

Yves DeswarteLa table ronde animée par M. Arnaud Belleil a fait le point sur les travaux en cours visant à créer des outils (les "PET", pour Privacy Enhancing Tools") permettant à chacun de maîtriser sa propre exposition.

Comme l’a indiqué Monsieur Gibert en conclusion, "Plus tard, les participants de cette journée pourront sans doute témoigner que le"CIL 2.0" s’est dessiné clairement le 10 juin 2009, à l’occasion des 5èmes Assises du Correspondant Informatique et Libertés".

Synthèse par Bruno Rasle, administrateur AFCDP et animateur du comité de pilotage des Assises.

Cette manifestation a bénéficié du soutien des sponsors suivants : ACTECIL, CABINET CILEX, NAXFER, PRIVACIL, AXIL CONSULTANTS et PRIVACY LAW BUSINESS

Entendu lors de la journée :

Patricia Jonason- "Le contact des délégués au sein de l’autorité de contrôle Suédoise est en actuellement en congés paternité pour 6 mois" - Patricia Jonason
- "Le CIL, c’est un Homme fort qui pourrait être plus fort " - Pascale Gelly
- "Il faut faire du CIL un Commissaire à la protection des données " - Alain Bensoussan Christoph Klug (GDD)
- " Pour être CIL, il faut avoir un esprit créatif » - Catherine Leverrier
- "La réussite du CIL dépend pour beaucoup du soutien de la direction de l’entreprise, des moyens qu’on lui donne réellement..." - Catherine Leverrier
- "Lidl group – a supermarket chain - received a total fine of about 1.4 million € mainly because of illegal monitoring of employees, and because there was no DPO appointed in some of the Lidl group companies. In a similar way, the president of the Deutsche Bahn had to resign from his job after the media had reported several cases of illegal monitoring of Deutsche Bahn employees. The DPA is currently investigating the case, but they have not decided about a fine yet. " -Christoph Klug
- "Le cerveau du Privacy Officer est modelé à l’image de celui d’une femme : multifonctionnel " - Bonaja Bellamy
- "Il faut être passionné pour faire cette profession" - Bojana Bellamy

- Interviews réalisées à l’occasion des 5èmes Assises du CIL

- Supports des présentations et transcription des débats

La presse parle des Assises :
- Le Monde Informatique, 11/06/2009 - par Miléna Nemec-Poncik : Les avocats autorisés à endosser le rôle de CIL
- Global Security Mag, "Délégué à la protection des données à caractère personnel, le bilan européen", par Emmanuelle Lamandé
Global Security Mag, PETs : pour une anonymisation et souveraineté des données personnelles, et Délégué à la protection des données personnelles : vers une certification ? par Emmanuelle Lamandé