Tout sur le DPO

"Vous traitez des données personnelles ? Il vous faut un DPO !"

Edouard Geffray

Discours tenu lors de la 11ème Édition de l’Université des DPO - Mercredi 25 janvier 2017

Plus que 485 jours !

De notre côté, nous sommes focalisés sur trois actions.

La première, c’est naturellement l’interprétation du RGPD.

Avec nos homologues, au sein du G29, nous avons commencé à publier des lignes directrices - notamment une sur le DPO. Tous ces documents sont assortis d’une clause de revoyure. Leur contenu pourra donc être précisé et enrichi.

D’ici mai 2018, toutes les thématiques principales du règlement seront traitées de façon similaire (consentement, profilage, EIVP, certifications, codes de conduite, etc.), avec une large place à la concertation. Cet ensemble de documents devrait vous apporter - et apporter à vos responsables de traitement - une certaine sécurité juridique.

Aurons-nous épuisé toutes les subtilités du RGPD ? Sans doute pas, quand on sait, qu’aujourd’hui encore, certaines dispositions de la loi Informatique et Libertés donnent lieu à de longs débats. Notre ambition est de vous aider à y voir clair sur les axes les plus importants du texte.

Notre deuxième action porte sur l’évolution de la loi Informatique et Libertés.

Les exceptions, le chapitre IX et les procédures sont à préciser en droit national. Il est en effet nécessaire de "compléter le puzzle", d’arrêter les dispositions qui nous sont spécifiques.

Les travaux sont pilotés par le Ministère de la justice, et nous y sommes associés. Le projet de loi devrait être déposé en juin de cette année, et je suis sûr que ce sera un bon sujet pour l’Université AFCDP de janvier 2018 !

La troisième action porte sur la sensibilisation.

Depuis ce matin, le site de la CNIL est enrichi d’un nouvel onglet, dédié au GDPR. On y retrouve une dataviz, les textes principaux, les lignes directrices. Nous allons l’alimenter en 2017 avec des vidéos ou textes pédagogiques pour expliquer point par point comment ce sera interprété.

Je voudrai maintenant parler de votre rôle.

Je veux commencer par insister sur votre importance, vous les CIL, à nos yeux, aux yeux de la CNIL.

Vous êtes les "chefs d’orchestre" - si vous ne l’étiez pas encore au sein de vos organismes, vous allez le devenir - vous êtes, sur tous les sujets liés à la conformité Informatique et Libertés, l’interlocuteur de référence.

En tant que CIL, vous avez vocation à poursuivre vos actions en tant que DPO.

J’ai la conviction qu’un Responsable de traitement, qui a désigné un CIL, qui le soutient, qui l’accompagne, et qui est satisfait des réalisations de ce dernier, a tout intérêt à la confirmer dans ses nouveaux habits de DPO.

Vous traitez des données personnelles ? Il vous faut un DPO.

Mais je souhaiterai maintenant échanger avec vous. Je suis sûr que vous avez mille questions à me poser.

Réponses aux questions de la salle

Salle : Imaginons qu’un chef d’entreprise ayant désigné un CIL - et n’étant pas dans l’un des cas de désignation obligatoire d’avoir un DPO - décide de ne pas avoir un DPO à titre volontaire. Qu’en pensez-vous ?

Edouard Geffray : Il est dans l’erreur ! Il devrait comprendre que son intérêt objectif est de bénéficier d’une personne qui réduise son risque juridique. Comme Albine Vincent, Cheffe du service des CIL vient de l’évoquer durant la table ronde précédente, nous allons mener des opérations de sensibilisation auprès des chefs d’entreprises, auprès de certains secteurs, auprès des sous-traitants.

Il appartient aussi au CIL de faire son « autopromotion ».

Mais, une fois le RGPD applicable, nous n’avons pas à ce stade prévu de revenir auprès des entreprises qui avaient désigné un CIL et qui n’auraient pas désigné auprès de nous un DPO pour les relancer.

Salle : Quel avenir pour les packs de conformité ?

Edouard Geffray : Ils ont vocation à prospérer, mais avec une évolution. Nous travaillons d’ailleurs actuellement sur un pack "Open data".

L’un des objectifs des packs est de simplifier les démarches, notamment avec des autorisations uniques. Avec le GDPR, cette "contre partie" disparait. Par contre, tout le volet "Bonnes pratiques" reste, et prend même de l’importance en l’absence de décision préalable de l’autorité de contrôle. Ces packs pourraient donc constituer des "référentiels" propres à certains grands secteurs.

Nous avons de l’avance sur ce sujet, par rapport à nos homologues. Nous en avons fait la promotion auprès d’eux et il est envisagé que la formule soit reprise au niveau européen.. Les packs sont donc promis à un avenir radieux !

Salle : Est-il prévu un pack de conformité pour le secteur de la grande distribution ?

Edouard Geffray : Pas à ma connaissance. Il appartient au secteur concerné de nous solliciter officiellement.

Salle : Est-il prévu un label portant sur les outils du DPO ?

Edouard Geffray : Sur le sujet des labels, la CNIL a de l’avance par rapport à la plupart de ses homologues, car ils ont été introduits dans la loi nationale très tôt. Par contre, le RGPD n’est pas d’une clarté absolu sur ce sujet...Nous échangeons actuellement entre autorités de contrôle afin de parvenir à un consensus. Ce qui est certain, c’est que les labels existeront et qu’il seront "européanisés". Concernant un éventuel label sur les outils du DPO, c’est trop tôt pour nous prononcer.

Salle : La loi Sapin prévoir une "grille d’alerte" et impose la réalisation d’une cartographie des risques. Quelle articulation avec le RGPD ?

Edouard Geffray : A ma connaissance, nous n’avons pas été saisis - ou plutôt, je n’en n’ai pas encore connaissance. Je prends la question.

Salle : Dans nos mentions d’information, devons-nous faire référence au RGPD ou à la loi Informatique et Libertés ?

Edouard Geffray : Le RGPD étant d’application directe, vous pouvez faire référence directement à ses articles dans vos mentions d’informations pour ses règles principales (droits des personnes). Par contre, vous pourriez être amenés à faire référence à des dispositions de la loi Informatique et Libertés pour tous les sujets qui sont propres à la France.

Salle : Infligerez-vous des sanctions dès le 25 mai 2018 ?

Edouard Geffray : Je crois pouvoir dire que la CNIL n’a jamais fait de chasse aux sorcières... Les chiffres parlent d’eux-même : 500 contrôles, 100 mises en demeure ... et seulement 15 sanctions.

Notre petit déjeuner, le matin du 25 mai 2018, sera déjà assez copieux comme cela !

Bien sûr, nous n’allons pas, ce jour là, suspendre nos activités de contrôle. Il y aura une continuité de l’activité, et nous travaillons justement pour qu’il n’y ait pas de « rupture », aussi bien pour les organismes qu’en termes de régulation, le 25 mai 2018. On peut s’attendre, raisonnablement, à une phase d’adaptation, mais pas d’inaction... place au pragmatisme.

Salle : L’utilisation du NIR (n° de sécurité sociale) est du ressort de chaque Etat membre. Pouvons-nous espérer un "assouplissement" à ce sujet ?

Edouard Geffray : Je ne le sais pas encore. Pour les traitements qui utilise le NIR, nous avons beaucoup de recul, une longue expérience. A titre personnel, je dirai que les principes n’ont pas vocation à évoluer de façon substantielles, ni les procédures avec un avis de la CNIL - mais ce n’est pas une certitude.

Salle : Avec la disparition des formalités, nous "perdons" une forme de contrôle a priori. Que va-t-il rester du système déclaratif ?

Edouard Geffray : Excellente question... mais qui amène une réponse partielle. Il faut distinguer quatre cas : Les déclarations (actuel article 22) disparaissent. Sur ce point, aucune ambiguïté. Les actes règlementaires et les demandes d’avis (actuel article 27) restent.

Le débat porte sur les deux autres cas. Celui, tout d’abord, des autorisations (actuel article 25). Certes, elles ont vocation à disparaitre, mais elles seraient remplacées par la consultation de la CNIL que prévoit le RGPD en cas de PIA. Enfin, il reste toutes les situations spécifiques à la France, qui touchent des régimes particuliers, et sur lesquels il reste à statuer (NIR statistique de la loi Lemaire, autorisation spécifique prévue dans le code de l’environnement pour les panneaux publicitaires connectés, etc.).

Salle : A ce jour, quatre-vingt entreprises ont obtenu la validation de leur BCR. Soixante-dix autres dossiers sont en cours d’examen. Que vont devenir les BCR... et l’investissement consenti ?

Edouard Geffray : Je note tout d’abord que les BCR sont intégrées dans le RGPD. La partie du texte qui traite des transferts de données les liste, aux côtés de la certification. Par conséquent, les BCR n’ont pas vocation à être certifiées. Ce sont bien des outils distincts. En revanche, les BCR étant très utiles, très structurantes, il y a tout intérêt à réutiliser tout le travail accompli et la substance des engagements pour obtenir une certification. C’est une démarche pragmatique et intelligente. Il appartient au groupe qui travaille sur le sujet de la certification de préciser le "comment".

Salle : Vous avez indiqué que la loi Informatique et Libertés allait être revue. Quid du Code pénal ?

Edouard Geffray : Les articles 226-16 à 226-24 du Code pénal n’ont en tant que tel pas vocation à disparaitre. Il ne serait pas illogique de voir quelques ajustements des sanctions pénales pour tenir compte des nouvelles sanctions administratives prévues par le RGPD, pour obtenir une certaine cohérence. Ce n’est pas un point de vue institutionnel de la CNIL, mais je me pose la question à titre personnel.

Salle : La directive ePrivacy est en cours de refonte - un règlement est annoncé pour mai 2018, c’est à dire en même temps que le RGPD. Il est probable que ses nouvelles règles modifient les règles "cookies" actuelles. N’est-ce pas une charge trop forte pour les entreprises, focalisées sur la préparation au RGPD ?

Edouard Geffray : Nous travaillons effectivement sur ce sujet. Je retiens qu’il s’agit d’un règlement, d’application directe, que le sujet a été confié aux autorités de contrôle, et qu’il existe un lien évident avec le GDPR. C’est intéressant au niveau des sanctions, par exemple.

Sur les cookies, pour ce que j’en ai vu, les modalités de recueil du consentement s’inscrivent en écho aux recommandations du G29, mais nous devons le vérifier. Je n’ai pas d’inquiétude systémique ou majeure sur le fond.

Il y bien un enjeu de calendrier - il est ambitieux - mais il est légitime de viser un régime juridique cohérent - quitte à imaginer, si besoin, un régime transitoire.

Salle : Vous n’êtes pas sans savoir que les Collectivités sont confrontées à des réductions budgétaires drastiques. Dans ce contexte, la conformité ne figure pas toujours parmi les priorités...

Edouard Geffray : J’en suis conscient. J’observe une situation asymétrique, avec une absence de CIL au niveau des administrations centrales et une présence inégale dans les villes, comparée à des désignations dans pratiquement tous les départements et régions.

Concernant les administrations centrales, je note une réelle prise de conscience... quelque fois douloureuse.

Concernant les collectivités territoriales, nous allons nous rapprocher de leurs associations pour leur délivrer le bon niveau d’information, notamment pour leur rappeler qu’elles peuvent mutualiser.



    Vous utilisez actuellement un navigateur dont la version n’est plus supportée. Veuillez utiliser l’un des navigateurs suivants :

    • Windows : Chrome, Firefox, Edge
    • MacOS : Safari, Chrome, Firefox
    • Linux : Chromium
    • Mobile : fonctionne de manière optimale sur tout les navigateurs.