">

L’AFCDP, au travers de CEDPO (Confederation of European Data protection Associations), adresse au G29 ses propositions concernant l’avenir du DPO.

Les associations européennes de DPO y lancent un appel pour éviter que la profession ne se sclérose sur les seuls profils juridiques.

Les associations européennes qui représentent les DPO, regroupées au sein de la confédération CEDPO (co-fondée par l’AFCDP, la GDD allemande, la NGFG néerlandaise et l’APEP espagnole) viennent d’adresser au G29 leur contribution concernant l’avenir de la profession.

Cette position officielle des sept plus importantes associations professionnelles de professionnels de la conformité au plan européen fait suite à la participation de CEDPO, en juillet dernier, au Fablab qui s’est tenu à Bruxelles.

Le courrier adressé à la Présidente de la CNIL - en sa qualité de Chairwoman du G29 - marque l’accueil favorable que les associations européennes de DPO ont réservé à la première version des lignes directrices publiées par le G29 concernant le DPO. Toutefois les représentants des DPO actuellement désignés dans le cadre de la directive 95/46/CE – dont les CIL français- tiennent à revenir sur certains sujets, importants à leurs yeux.

Cette communication comprend dix points.

Les dix points de CEDPO - Lettre adressée au G29

Il s’agit soit de suggestions de précision (par exemple concernant la publication des coordonnées du DPO), soit de propositions d’ajouts (par exemple la formalisation, en tant que bonne pratique, de la présentation annuelle du bilan au responsable de traitement – opportunité majeur pour obtenir et défendre son budget et pour faire part des avancées, mais aussi des difficultés rencontrées dans l’exercice de la mission).

Au point 2, CEDPO insiste sur son souhait de ne pas voir la profession se réduire aux seuls profils juridiques, la pratique ayant démontré que, dans les pays qui ont opté pour le « Détaché à la protection des données » dans le cadre de la directive 95/46/CE, l’hétérogénéité de l’origine des CIL était une véritable richesse (ainsi, en Allemagne aussi bien qu’en France, la majorité des CIL ont une formation initiale d’informaticien, et non de juristes).

Le considérant 97 indique qu’ « une personne possédant des connaissances spécialisées de la législation et des pratiques en matière de protection des données devrait aider le responsable du traitement ou le sous-traitant à vérifier le respect, au niveau interne, du présent règlement », tandis que l’article 37.5 précise que « Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ».

Pour CEDPO, la fonction de DPO doit rester ouverte à toute personne, quelle que soit sa formation initiale et son parcours, et l’exigence exprimée dans le RGPD peut être satisfaite même par des personnes dépourvues de diplôme en droit. Le texte ne doit pas être interprété de façon restrictive pour échapper au risque de voir les responsables de traitement et les sous-traitants sélectionner leur délégué à la protection des données uniquement au sein des juristes et avocats. Naturellement, cela implique un effort certain de formation initiale de la part des personnes qui se projettent dans le métier de Data Protection Officer, afin de compléter leurs connaissances (notamment pour permettre aux juristes de maîtriser les concepts techniques).

CEDPO s’exprime également sur l’indépendance du DPO, sa position dans l’organisme pour lequel il a été désigné, sa localisation, ses taches, son besoin de maintenir ses connaissances et son niveau de compétences.

À travers CEDPO, l’AFCDP s’apprête à prendre part au prochain Fablab organisé par le G29 et à porter une nouvelle fois la voix des professionnels concernés.

Pas de sclérose aux seuls profils juridiques

Le communiqué de presse, dans son intégralité :