Jusqu'où ira l'AFCDP ? Portée par la mutation du rôle du traditionnel de correspondant informatique et libertés couplée à l'essor de la place et du métier de DPO dans l'organisation, l'association française des correspondants à la protection des données personnelles a franchi un cap. A l'occasion de sa dernière Université (14e édition) qui s'est déroulée ce 14 janvier 2020 à la Maison de la Mutualité à Paris - et non plus à la Maison de la Chimie devenue trop étroite - près de 1 000 participants ont été enregistrés en matinée. Créée en 2004, l'association vient d'atteindre le cap historique des 6 000 membres. « Cet événement marque un changement d'échelle et une nouvelle étape pour l'AFCDP », a lancé Paul-Olivier Gibert, président de l'AFCDP.
Il n'y a pas que l'association qui gagne en maturité. Sur le terrain, les projets RGPD se sont multipliés bien que certains plus que d'autres l'ont été à marche forcée. « L'objectif est aujourd'hui sur l'après mise en oeuvre. Beaucoup d'entreprises considèrent que l'obstacle est passé mais il fait maintenant voir ce que cela donne dans la vraie vie et ce n'est pas si simple », nous a indiqué Paul-Olivier Gibert. De nombreux établissements ont par exemple réagi dans la confusion pour éviter de se retrouver au pied du mur de la conformité. C'est le cas par exemple à Reims avec des établissements scolaires qui ont démonté leurs systèmes car ils avaient des doutes sur le RGPD. « Il faut agir dans le respect du droit et des libertés des personnes mais débrancher les systèmes de vidéosurveillance n'est pas une solution », a commenté Paul-Olivier Gibert. « Ne rien faire car on ne sait pas quoi faire, non plus ».
L'harmonisation RGPD complexe à l'échelle européenne
De gauche à droite : Olivier Micol (chef de l'unité protection des données à la direction générale Justice et Consommateurs à la Commission européenne), Corentin Hellendorff (juriste expert auprès du DPO d'OVH) et Alexandre Hoefmans (chef du service Egalité des chances au ministère de la justice belge) en plénière de la 14e université de l'AFCDP le 14 janvier 2020 à Paris. (crédit : D.F.)
En plénière de la 14e Université de l'AFCDP, la question de la mise en oeuvre du RGPD a aussi été abordée au travers du prisme européen. Une table ronde a ainsi réuni Olivier Micol, chef de l'unité protection des données à la direction générale Justice et Consommateurs à la Commission européenne, Alexandre Hoefmans, chef du service Egalité des chances au ministère de la justice belge, et Corentin Hellendorff, juriste expert auprès du DPO d'OVH. D'après les résultats d'un « eurobaromètre » effectué au niveau européen, 67% des personnes interrogées ont entendu parler du RGPD, tandis que 57% savent qu'il existe une autorité des données pour protéger les consommateurs. Un taux certes honorable, mais qui laisse encore sur le bord de chemin encore de trop de nombreux européens. « Il n'y a pas eu d'Armageddon et de chasse aux PME avec des amendes de plusieurs millions d'euros », a fait savoir Olivier Micol. « On vit plusieurs défis et il y a un peu de mal avec certaines interprétations RGPD », a de son côté expliqué Alexandre Hoefmans.
A l'échelle européenne, l'un des principaux enjeux réside dans l'harmonisation de la mise en place du RGPD alors même que le texte laisse de larges marges de manœuvre en termes d'application. Cela concerne par exemple l'âge de consentement des enfants, qui varie fortement selon les pays : 13 ans en Belgique, Danemark..., 14 ans en Bulgarie et à Chypre, 15 ans en République Tchèque et en France ou encore 16 ans an Allemagne, au Bénélux, Pays-Bas... « En Allemagne, il existe une obligation de nommer un DPO à partir du moment où plus de 20 personnes participent à du traitement de données personnelles ce qui est assez contraignant », a expliqué Corentin Hellendorff.
Un brexit avec accord bénéfique aux données personnelles
Conclu en octobre dernier entre le premier ministre britannique Boris Johnson et Michel Barnier, négociateur européen de l'Union européenne, le brexit a finalement été approuvé le 9 janvier 2020 par le parlement anglais. Un accord qui ouvre la voie à une période de transition permettant de négocier plusieurs points clés, notamment économiques, entre Londres et le reste de l'Europe, qui pourra être prolongée jusqu'à fin 2022. L'impact de cet accord est loin d'être neutre concernant le transfert des données personnelles vers le Royaume-Uni : « un brexit avec accord permet de bénéficier d'une décision d'adéquation ce qui n'aurait pas été le cas avec un brexit sans accord », a indiqué Olivier Micol. Une décision qui permet donc de considérer les transferts de données personnelles vers le Royaume-Uni comme offrant un niveau de protection suffisant et reconnu par la Commission européenne.
Commentaire