">

Enfin le règlement ! Ses règles s’appliqueront sans doute mi-2018. Il n’en reste pas moins que, durant encore deux ans, c’est la loi Informatique et Libertés qui s’applique et qui doit être respectée.

Durant cette période, il faudra en plus nous préparer à respecter le règlement.
Vous, les CIL, vous êtes de plus en plus nombreux et surtout de plus en plus compétents. Nous le voyons clairement au niveau des questions que vous nous adressez, vos demandes de conseils étant de plus en plus complexes.

Votre métier est au cœur du règlement, le DPO devenant quasiment obligatoire.

Pour le secteur public, qui était rétif à la formule, le DPO s’impose, ainsi que pour les entreprises qui font du profiling à grand échelle ou qui traitent des données dites sensibles.

Cela ne veut pas dire que les entreprises qui ne seront pas dans l’obligation de désigner un DPO ne doivent pas le faire, et nous encourageons les actions de promotion qui visent à les convaincre de ne pas attendre, de prendre les devants. Tous les responsables de traitement ont intérêt à désigner un CIL dès aujourd’hui, et ce CIL a vocation à être DPO demain.

Si le statut du DPO est inchangé par rapport à celui du CIL, je note que ce dernier doit monter en compétence : une véritable expertise sera désormais nécessaire, il faut bien en prendre conscience.

La CNIL se prépare à vous accompagner dans cet effort. Nous publierons prochainement, par exemple, des documents qui vont fournir des « clés de lecture » afin d’appréhender le nouveau texte.

Mais je préfère répondre à vos questions.

Salle : Qu’en est-il des discussions autour du Safe Harbor ?
Edouard Geffray : Le 2 février, le G29 tient une réunion de décision définitive – et non pas de travail. Que peut-il en ressortir ? Personnellement, je n’envisage même pas une divergence de position, au final, entre les autorités de contrôle européenne. C’est une position commune qui en ressortira, qui portera uniquement sur la question des BCR et des clauses contractuelles. Est-il possible de les utiliser encore ? Notons que le sort du Safe Harbor est réglé. Il a été invalidé et aucun transfert ne doit être effectué dans ce cadre. Nous n’y reviendront pas. Quelle pourrait être la décision du G29 ? En toute hypothèse, il peut se prononcer contre l’utilisation des BCR et des clauses. Dans cette hypothèse, nous traverserons une période problématique. En cas de décision inverse, ces solutions continueront à permettre de transférer des données personnelles vers des pays n’offrant pas un niveau de protection adéquat. Attendons le 2 ou le 3 février pour en savoir plus. Pendant ce temps les négociations se poursuivent à un rythme accéléré entre les Etats-Unis et l’Europe concernant un « nouveau Safe Harbor ». Il faut noter que les américains semblent avoir pleinement conscience que l’Europe prend le sujet au sérieux. Nous verrons bien ce qu’il en ressortira.

Salle : Le règlement précise-t-il les compétences que devront avoir les DPO ?
Edouard Geffray : Le règlement pose le principe de compétence mais ne donne pas de détail. Il est probable que le Comité qui va remplacer le G29 formalise un référentiel pour préciser les exigences.

Salle : Le DPO sera-t-il un salarié protégé ?
Edouard Geffray : Non. Comme je l’ai indiqué, le statut ne connaît pas de grande évolution, entre le CIL actuel et le DPO.

Salle : Les CIL actuels deviendront-ils DPO ?
Edouard Geffray : Vous êtes plus de 4.000. Nous avons tout intérêt à ce que la plupart d’entre vous soient confirmés en tant que DPO. Mais les deux fonctions ne cohabiteront pas. A la mi-2018, plus de CIL, mais des DPO. Les modalités de ce « basculement » ne sont pas encore connues, nous allons y travailler. Mais cela nécessitera sans doute un acte formel de la part du responsable de traitement.

Salle : Quel va être le rôle de la CNIL dans le futur ?
Edouard Geffray : Nous venons d’une logique de contrôle, en amont et en aval. Nous allons naturellement poursuivre notre politique de contrôle, mais nous devons développer le volet « Accountability ». De même, il nous faut répondre désormais à la question « Mes traitements sont-ils conformes » plutôt que la simple question « Quelle formalité devons-nous réaliser ? ». Je note d’ailleurs que le bouton « Besoin d’aide ? » que nous avons ajouté très discrètement récemment sur notre site Web est utilisé plus d’un millier de fois chaque mois.

Salle : Allez-vous spécialiser une équipe pour répondre aux questions portant sur le règlement ?
Edouard Geffray : Rien n’est encore décidé, mais je prends l’idée.

Salle : La période de deux ans, qui va s’ouvrir, ne risque-t-elle pas d’être une période « trouble » d’insécurité juridique ?
Edouard Geffray : En aucune façon. Mi-2018, il y aura un net basculement sur le règlement. D’ici là ceux sont toujours les règles de la loi Informatique et Libertés qui s’appliquent. En clair, la CNIL ne prononcera aucune sanction pour non-respect de règles qui ne doivent pas encore être appliquées. Au maximum nous pourrons formuler des recommandations, mais pas plus. Il n’en reste pas moins que, durant ces deux ans, nous avons tous intérêt à nous y préparer, sans doute en deux grandes étapes : 2016 pour bien comprendre le texte et ses obligations nouvelles et 2017 pour mettre en place les outils et les procédures.

Salle : En cas d’entreprise présente à l’échelle européenne, devrons-nous désigner un DPO dans chaque pays ?
Edouard Geffray : Le règlement ne le précise pas. Le plus logique est de se référer à l’approche « Guichet unique », et un DPO « local », au plus près des personnes concernées, fait sens.

Salle : Dans deux ans, aurons-nous encore à respecter des dispositions purement françaises ?
Edouard Geffray : Je ne vois que trois possibilités. Dans 85 % des cas, le règlement va se substituer aux règles actuelles. Dans 5 % des cas, nous aurons effectivement des dispositions spécifiquement nationales, par exemple issue de la loi pour une République numérique. Dans les 10 % restant, le règlement laisse aux Etats membres le soin d’apporter des précisions nationales, mais dans le respect des principes fondamentaux du texte. Je pense à la santé, aux exceptions pour les journalistes, etc.

Salle : Dans le secteur public, le métier de CIL n’existe pas dans le répertoire des métiers, ce qui est un frein à la progression salariale des personnels qui assurent les fonctions de correspondant de façon quasiment bénévole.
Edouard Geffray : J’avoue que cela dépasse les compétences de la CNIL, même si nous avons œuvré pour qu’un code ROME soit créé pour le métier de CIL.

Salle : Que vont devenir les formalités préalables dans le secteur de la santé et de la recherché en matière de santé ?
Edouard Geffray : La loi les maintient mais nous poursuivons nos efforts de simplification, notamment dans le cadre de la loi de modernisation du système de santé.

Salle : Actuellement les personnes qui ne sont pas CIL n’ont pas accès aux documents que la CNIL pet à disposition des Correspondants. Prévoyez-vous d’ouvrir plus largement la diffusion des nouveaux outils que vous avez évoqués, destinés à préparer les responsables de traitement au règlement ?
Edouard Geffray : Je n’ai aucune opposition à une diffusion plus large. Il n’en reste pas moins que les responsables de traitement ont tout intérêt à désigner un CIL sans attendre.

Salle : Mi-2018, que va devenir le “stock” de déclarations et de formalités existantes ?
Edouard Geffray : Je vois votre inquiétude. Tout ce qui a été déclaré, enregistré, demeure. Vous n’aurez pas besoin de recommencer…

Salle : Qu’en est-il du niveau de sanction, qui va considérablement augmenter ?
Edouard Geffray : Ce niveau a été pensé pour permettre aux autorités de contrôle européennes de prendre des décisions au niveau européen.

Les Adhérents de l’AFCDP ont accès, au sein du réseau social privé qui leur est réservé, aux transcriptions de la vingtaine d’interventions dont les participants ont pu bénéficier lors de cette conférence, dont « Facebook trace aussi les “non-utilisateurs” Facebook », Intervention donnée par Brendan Van Alsenoy (Legal Researcher Interdisciplinary Centre for IT & IP Law – iMinds, KU Leuven), « Il faut éduquer et faire grandir les X et les Y » - Intervention de Catherine Lejealle, sociologue spécialiste du digital, enseignant chercheur à l’ISC Paris et auteur du livre « J’arrête d’être hyperconnecté ! », « Quelle articulation entre la loi Informatique et Libertés et les autres textes ?  », « Dès 2020, le nombre d’objets connectés devrait dépasser le nombre d’utilisateurs » - Intervention d’Amandine Delsuc, CIL de Gras Savoye, Garance Mathias, Avocat à la Cour, et Aline Alfer, Mathias avocats, « Le problème n’est pas de créer un réseau de RIL, c’est le reste qui est difficile… » - Intervention de Dominique Bricot, CIL mutualisé d’ADMR et de Daniel Garin, CIL mutualisé de Vinci Energies, « Dans le cadre de notre Hackathon, toutes les recommandations que j’ai formulées en tant que CIL ont été suivies » - par Marie Noëlle Séhabiague, CIL de la Caisse nationale des allocations familiales, « En matière de sensibilisation, rien ne remplace l’humain » - Marie-Laure Baron, CIL du Conseil départemental de Charente-Maritime, « Big Data : que faire pour être prêt le jour J ?  » - Marie-Noëlle Gibon, CIL du Groupe La Poste, CIL de la Banque Postale, et Jean-Luc Raffaeli, DSI Groupe La Poste, co-auteur du livre « Big data et machine learning » (Dunod), « Un CIL devrait s’inspirer de Gandhi, de Spinoza et... de Michael Jordan  » - Intervention de Patrick Villard, CIL et Information Security Officer de Swisslife (et entraîneur national d’athlétisme), « Homologation RGS : les écueils sont liés à un manque de sensibilisation des acteurs concernés », par Denis Virole, Directeur des services d’Ageris Group, « Une fiche registre est désormais obtenue en une quinzaine de minutes, et le CIL est perçu désormais comme « Créateur de solutions innovantes » ! », par Florence Graveline, CIL et Chef du Service des Etudes Juridiques de la Sacem