« 2022 a été une bonne année pour l'AFCDP », nous a expliqué Paul-Olivier Gibert, président de l'AFCDP à l'occasion de la 17e édition de l'Université de l'Association Française des Correspondants en Données Personnelles . « Nous avons maintenu et repris notre rythme d'activité après deux années marquées par la crise Covid et les confinements. Totalisant plus de 2 000 membres, l'association a retrouvé le niveau de participants connu lors de ses précédentes éditions et une couverture médiatique inédite de 25 journalistes accrédités pour cet événement ».
Parmi les thèmes abordés lors de la dernière édition de son Université, les enjeux liés à la cybersécurité ont été particulièrement mis en avant. « Le métier de DPO évolue et son poids s'institutionnalise en devenant de plus en plus marqué au sein des organisations, et il travaille de plus en plus en proximité avec les RSSI », analyse Paul-Olivier Gibert. « La fonction de DPO est installée et a pris ses marques et son utilité autant que son efficacité sont fortement établies même s'il reste encore beaucoup de défis techniques comme ceux liés aux transferts de données transatlantiques, mais aussi des questions un peu plus sociologiques avec l'évolution des pratiques numériques des salariés ».
« Les RSSI et les DPO sont souvent dans le même bateau et ont sacrément intérêt à se serrer les coudes », a lancé Emmanuel Naëgelen, directeur général adjoint de l'Anssi sur la dernière conférence Afcdp. (crédit : D.F.)
NIS 2 dans la besace des compétences des DPO ?
En séance plénière de la conférence de l'association ce 9 février 2023 à la Maison de la Chimie (Paris), le directeur général adjoint de l'Anssi, Emmanuel Naëgelen, s'est exprimé sur les destinés liés entre RSSI et DPO. « Les RSSI et les DPO sont souvent dans le même bateau et ont sacrément intérêt à se serrer les coudes s'ils ne veulent pas se faire passer par-dessus bord par les pirates ou par les patrons », a lancé non sans malice le DGA.
Dans le cadre de la révision de la directive NIS, Emmanuel Naëgelen a notamment rappelé que cette dernière élargit le périmètre des acteurs publics et économiques concernés par la cybersécurité, passant de 6 secteurs à 23 secteurs, tous établissements confondus (PME, grandes entreprises, établissements publics...). De 500 opérateurs régulés aujourd'hui, plus de 10 000 vont être désormais concernés par ce changement de paradigme et d'échelle, amenant l'Anssi à s'ouvrir à une approche davantage orientée services. « Cette directive est extrêmement ambitieuse, certainement aussi ambitieuse que le RGPD qui va permettre de changer de dimension au niveau européen en nous dotant d'un outil extrêmement puissant qui nous manquait et nous doter d'un pouvoir de sanction ». Une évolution qui amènera sans doute le DPO à adopter une nouvelle posture. « Nous aurons peut être demain un nouveau champ de compétences pour les DPO qui ne seront plus là principalement pour les questions de RGPD, mais qui auront peut être aussi dans leur besace ces questions de directive NIS et de son application ».
A gauche Mathias Moulin (secrétaire général adjoint de la CNIL) et Paul-Olivier Gibert (président de l'AFCDP) réunis le 9 février 2023 à la Maison de la Chimie pour la 17e Université de l'AFCDP à Paris. (crédit : D.F.)
« Ne pas écouter son DPO c'est jouer à la roulette russe »
La cybersécurité est-il devenu plus que jamais le pilier du métier de DPO ? « L'obligation de sécurité sur les données date de 1978 donc de la préhistoire des données et de la protection des données personnelles. Mais avec les nouveaux usages et les nouveaux outils, les problématiques cybersécurité se sont repositionnées de manière un peu différente ave le déport d'une bonne partie de la délinquance astucieuse qui s'est déportée du domicile vers le monde de l'entreprise donc il est normal que le DPO soit concerné par cette évolution ».
Fidèle appelée des Universités de l'AFCDP et dont l'intervention est toujours très attendue par les adhérents de l'association, la Cnil a pris la parole avec cette fois-ci en tant que porte-voix Mathias Moulin, son secrétaire général adjoint. « J'aimerais rappeler à quel point le rôle des DPO et des métiers en lien avec les données est important », a lancé le SGA. « J'entends les difficultés que certains d'entre vois sur l'absence de moyens, d'écoute de leur gouvernance. Il y a eu un élan avec le RGPD et il y a peut être un sentiment maintenant que le soufflé est retombé mais je pense radicalement le contraire [...] votre apport est essentiel et ceux qui disent le contraire manquent de vision. Je pense sincèrement que ne pas avoir une bonne hygiène de la gestion des données et de mise en place du RGPD et de ne pas écouter son DPO c'est jouer à la roulette russe avec la réputation de son entreprise, la sécurité des données et son patrimoine informationnelle et avec la confiance de ses clients, de ses partenaires et de ses employés. Ceux qui ne l'ont pas compris l'apprendront à leur dépends ».