">

Communiqué de Presse

Bonn, Paris, La Haye, Madrid, le 26 mai 2011

Associations européennes de protection des données : “Le nouveau texte européen doit renforcer les délégués à la protection des données !”

Les principales associations de protection des données en Europe saluent la volonté de la Commission européenne de réduire les formalités administratives pesant sur les entreprises, dans le cadre du travail engagé de définition d’une nouvelle approche de la protection des données personnelles dans l’Union européenne .

Communiqué de Presse (version française)

Ceci étant, les associations partagent le point de vue de la Commission, selon lequel cette simplification administrative ne doit pas engendrer une réduction du niveau ou de l’effectivité de la protection des données.

La GDD allemande, l’AFCDP française, la NGFG néerlandaise, et l’APEP espagnole en appellent donc à ce que le nouveau texte européen renforce le rôle du délégué à la protection des données personnelles (DPO) dans les Etats membres. Le DPO -Correspondant “informatique et libertés” (CIL) en France - est le gardien du respect des règles de protection des données. Il devrait jouer un rôle majeur dans les projets de la Commission d’améliorer la conformité à la réglementation par l’introduction du principe dit d’“accountability”.

Communiqué de Presse (version anglaise)

Dans une société du numérique où de plus en plus d’informations sont traitées, copiées et partagées sur des supports aux capacités infinies, entre de nombreux acteurs et par delà les frontières nationales, le DPO est devenu un acteur essentiel pour la protection de la vie privée des consommateurs, des salariés et des citoyens.

Le rôle crucial et croissant du DPO a été reconnu au niveau mondial dans la “Résolution de Madrid” sur les principes internationaux de protection des données approuvée par les autorités de protection des données de plus de 50 pays lors de la 31èmeConférence Internationale des Commissaires à la Protection des Données et de la Vie Privée en 2009. L’une des sections clé de ce document fait référence à des mesures proactives et comporte la recommandation de désigner des correspondants à la protection des données ayant les qualifications, ressources et les pouvoirs suffisants pour exercer leurs fonctions de supervision de manière adéquate.

Communiqué de Presse (version allemande)

La GDD, l’AFCDP, la NGFG et l’APEP conviennent que pour beaucoup d’organismes, il est de bon sens de designer un DPO. “Après tout, les sociétés implantées dans les Etats membres doivent de toute façon se conformer aux lois de protection des données et il faut bien que quelqu’un fasse le travail nécessaire”, souligne Christoph Klug de la GDD. Sachiko Scheuing, de la NGFG poursuit “Les DPO, bien entendu, ont une bonne connaissance des lois et réglementations en matière de protection de la vie privée. Ce qui fait leur particularité, c’est le fait qu’ils ont par ailleurs une bonne connaissance de leur organisme. Cette combinaison unique de connaissances leur permet d’être efficaces.” Une enquête menée aux Pays Bas, par le Ministère de la justice, montre que les organismes qui ont désigné un DPO (délégués à la protection des données personnelles) présentent un plus haut niveau de connaissances et de sensibilisation à la matière.

Les associations de protection des données ont constaté, ces dernières années, une forte croissance du nombre de DPO. “Les DPO ont démontré qu’ils étaient utiles tant aux responsables de traitement qu’aux personnes concernées, et ils continueront de l’être, les règles de protection des données pouvant être complexes à appliquer dans un monde de technologies en constante évolution” déclare Pascale Gelly de l’AFCDP. “Les organismes et les individus doivent pouvoir se fier à des professionnels compétents : les DPO. Nous sommes les témoins de l’émergence d’une nouvelle profession”, poursuit Pascale Gelly.
Cecilia Alvarez de l’APEP ajoute : “Les DPO sont indispensables aux responsables de traitements et aux sous-traitants pour mettre en pratique les principes d’ « accountability » et « privacy by design » dans l’Union européenne. Pour créer la confiance dans un domaine où il faut combiner à la fois les droits fondamentaux et les intérêts économiques, il faut créer des DPO dotés d’un statut juridique spécifique, ce qui n’existe pas dans certains pays de l’Union européenne, tels que l’Espagne.

Compte tenu de ces signaux forts, les associations en appellent au législateur européen pour qu’il introduise des dispositions dans le texte à venir, qui définiront et harmoniseront le rôle et les caractéristiques du DPO en Europe. Qu’elles soient intégrées dans le cadre d’une révision de la directive ou dans un règlement, des dispositions plus précises sur le DPO sont attendues. “Il est nécessaire que des dispositions claires et détaillées soient adoptées non seulement sur les qualifications du DPO, ses fonctions et missions, mais également sur le statut légal du DPO”, conclut Christopher Klug de la GDD.

Fortes de leurs années d’expérience en matière de protection des données au sein des entreprises, les associations savent combien il est important d’impliquer tôt les DPO dans le planning des projets, et de permettre aux DPO de disposer d’une ligne de communication directe avec la direction d’un organisme. Ainsi, l’Allemagne a connu des expériences positives depuis 30 ans avec la désignation obligatoire des DPO. Cependant, des scandales récents en matière de protection des données auraient pu être évités si des DPO avaient été suffisamment impliqués.

La GDD, l’AFCDP, la NGFG et l’APEP souhaitent partager leur expérience et leur expertise sur des sujets tels que les missions, les qualifications, la certification, le statut, les pouvoirs et les ressources du DPO (délégués à la protection des données personnelles). Elles discutent actuellement de la création d’une confédération européenne pour faciliter le dialogue avec les institutions européennes afin que le point de vue des DPO soit entendu dans l’élaboration de la réglementation.

A propos des associations de protection des données personnelles mentionnées dans le présent Communiqué :

- GDD

L’association allemande pour la protection et la sécurité des données (Gesellschaft für Datenschutz und Datensicherung e.V., GDD) a été créée en 1977. La GDD est un organisme à but non lucratif ayant pour objet la protection effective et pragmatique des données. Avec plus de 2400 membres– essentiellement des sociétés – la GDD est l’association de protection des données leader en Allemagne. Outre le fait de fournir différentes prestations à ses membres, telles que de l’enseignement, de la formation et la certification des DPO, des guides pratiques et des opportunités de mise en contact de professionnels de la protection des données à travers toute l’Allemagne, la GDD représente également la position de ses membres à un niveau national et européen.

Contact : Christoph Klug, Tel. : +49-228-694313 ; E-Mail : klug gdd.de
Website : http://www.gdd.de
Le communiqué de presse en allemand sur le site de la GDD

- AFCDP

L’AFCDP, Association Française des Correspondants à la Protection des Données, a été créée en 2004 suite à la réforme de la loi du 6 janvier 1978 sur la protection des données à caractère personnel, qui a donné naissance à la fonction de DPO (« Correspondant à la protection des données à caractère personnel » également appelé CIL, « Correspondant Informatique & Libertés »). L’AFCDP est un lieu d’échange qui accueille toute personne intéressée par la protection des données à caractère personnel : CIL, chargés de la protection des données, avocats, responsables ressources humaines, DSI, RSSI, directeurs qualité et directeurs conformité, professionnels du e-commerce et du marketing … Plus de 900 personnes ont déjà rejoint cette association à but non lucratif. L’AFCDP encourage la discussion et les échanges d’informations en matière de protection des données personnelles en vue de faciliter la communication entre ses membres et de promouvoir les meilleures pratiques. L’AFCDP entretient un dialogue avec la CNIL et d’autres autorités concernées au niveau français et européen par la protection des données personnelles.

Contacts : Paul-Olivier Gibert, Président president afcdp.net / Bruno Rasle, Délégué Général - Tel : + 33(0) 6. 1234. 0884 - charge-mission afcdp.net Website : www.afcdp.net

- NGFG

Het NederlandsGenootschap van Functionarissenvoor de gegevensbescherming (NGFG) est l’association néerlandaise des DPO, une fonction prévue à l’article 62 de la loi néerlandaise de protection des données personnelles, la Wet beschermingpersoonsgegevens (WBP). La WBP comprend une disposition au terme de laquelle les entreprises, les organismes sectoriels, l’état et les institutions peuvent designer en interne un superviseur afin de protéger les droits des personnes concernées par un traitement , à savoir le délégué à la protection des données. Cette personne assure en interne la correcte application et le respect des lois applicables, des règlementations et des codes de conduite sectoriels, en matière de protection des données personnelles. De part leurs missions statutaires, leurs responsabilités et leurs pouvoirs, les délégués à la protection des données sont en mesure d’agir de façon indépendante au sein de leur organisme. La désignation des délégués à la protection des données correspond à la façon dont la WBP a mis en œuvre les dispositions de l’ article 18, second paragraphe de la Directive 95/46/CE relatif aux “délégués à la protection des données ».

Contact : Dr. Sachiko Scheuing, E-mail : secretariat ngfg.nl
Website : http://www.ngfg.nl

- APEP

L’Association Espagnole des Professionnels de la Vie Privée (Asociación Profesional Española de la Privacidad) a été créée en 2009 par des personnes de différents profils professionnels à l’intention de professionnels des secteurs privés et publics intéressés par la protection des données personnelles et de la vie privée : juristes d’entreprises, avocats, experts IT, IS et CTI ainsi qu’enseignants. En 2010, elle a lancé la certification APEP pour des professionnels “responsables” afin de mettre en valeur les rôles professionnels de la protection des données et ainsi participer à la création de la confiance dans le marché émergent et dynamique qu’est celui de la « privacy ». L’APEP a établi des liens réguliers avec plusieurs autorités de contrôle ainsi qu’avec des associations et des institutions dans le domaine de la protection de la vie privée tant au niveau national, européen, qu’international.

Contact : Belén Cardona, E-mail : presidencia apep.es ; Cecilia Alvarez, E-mail : administracion apep.es
Website : http://www.apep.es/

----- Version anglaise -----

European Data Protection Associations :
“New EU Law must strengthen Data Protection Officers !”

Leading data protection associations around Europe welcome the intention of the European Commission to reduce the administrative burden on businesses in the ongoing work of designing a new comprehensive approach to the protection of personal data in the EU .

At the same time the associations share the Commission`s view that administrative simplification should not lead to a reduction in the level and effectiveness of personal data protection.

The German GDD, the French AFCDP, the Dutch NGFG and the Spanish APEP therefore call for the new EU legislation to strengthen the role of the Data Protection Officer (DPO) in all member States of the EU. The DPO is the organisation’s gatekeeper for compliance with data protection regulations and should play a key role in the Commission`s plans to improve compliance by introducing an “accountability principle”. In a digital society where more and more information is processed, duplicated and shared on unlimited media, among numerous players and across national borders, the DPO has become an essential actor for the privacy of consumers, employees and citizens.

The crucial and growing role of DPOs has been recognised globally in the “Madrid Resolution” on international privacy standards approved by data protection authorities from over 50 countries at the 31st International Conference of Data protection Commissioners in 2009. One of the most relevant chapters of the document refers to proactive measures and includes the recommendation to appoint Data Protection or Privacy Officers, with adequate qualifications, resources and powers for exercising their supervisory functions effectively.

GDD, AFCDP, NGFG and APEP share the view that in many cases it makes sense for organisations to appoint a DPO. “After all, companies in Member States have to comply with data protection law anyway and somebody has to do the job”, emphasizes Christoph Klug from the GDD. Sachiko Scheuing from the NGFG continues : “DPOs of course know the privacy laws and regulations well. What makes them special is the fact that they also know their organisation very well. This unique combination of knowledge allows them to be effective.” A survey carried out in the Netherlands by the Ministry of Justice found that organisations that have appointed a DPO have a higher degree of compliance awareness and knowledge.

Data protection associations have noticed a great increase in number of DPOs over the past few years. “DPOs have proven their usefulness to both data controllers and individuals, and they will continue to fulfill an important need, as data protection regulations can be difficult to implement especially in our rapidly evolving world of technology” says Pascale Gelly from the AFCDP. “Organisations and individuals need to be able to rely on knowledgeable professionals : the DPOs. We are witnessing the emergence of a new profession”, Gelly continues.

Cecilia Alvarez from APEP adds : “DPOs are indispensable for the data controllers and the data processors to make effective the accountability and privacy by design principles within the EU. To create trust in a field where we must combine fundamental rights and business assets requires DPOs with a specific legal status, which is currently absent in certain EU jurisdictions, such as the Spanish one.”

Given all the strong signals, the associations call on the European legislator to include appropriate provisions in the coming EU law to define and harmonise the role and functions of the DPO in Europe. Whether in a revised directive or in a potential regulation, more detailed provisions on the DPO`s role are needed. “There is a need for clear and specific wordings to be adopted not only on the DPO´s qualifications, tasks and duties, but also greater clarity concerning the DPO´s legal status”, concludes Klug from the GDD.

Armed with years of experience in corporate data protection, the associations know full well how important it is to involve DPOs in projects early on in the planning phase, as well as their having a direct reporting line to the head of the organisation. For instance, Germany’s experience over the last 30 years with mandatory DPOs has been highly positive. Some recent data protection “scandals” might have been avoided had the DPOs been more fully involved in the process of protecting personal data.

GDD, AFCDP, NGFG and APEP would be pleased to share their experience and expertise on issues such as missions, qualifications, certification, status, powers and resources of the DPO. They are currently discussing the formation of a European confederation, which would facilitate the dialogue with European Institutions and ensure that the point of view of DPOs is heard in the elaboration of data protection legislation.

L’interview de Pascale Gelly, parue dans Nymity