LMI. L'Université de l'Afcdp est revenue en présentiel, c'est une bonne nouvelle ?
Paul-Olivier Gibert. C'est effectivement la première édition physique de l'université Afcdp depuis le début de la crise sanitaire. On est très content puisque cela permet de retrouver une qualité d'échange dont on a été un peu privé pendant ces 18 derniers mois. Et c'est un beau succès avec près de 800 personnes passées sur l'événement à la Maison de la Chimie.
Quel est le bilan 2021 de l'association ?
Le bilan n'est pas encore totalement dressé puisque l'on est en train de le préparer pour notre assemblée générale qui aura lieu en juin. Mais globalement 2021 a été une année de forte activité, largement développée sur les supports numériques que ce soit au travers de l'Agora, notre réseau social, mais aussi par l'utilisation des techniques d'événements vidéo. Et notamment le fait que nous ayons fait l'université 2021 sous une forme totalement dématérialisée qui a permis de maintenir l'activité par ce biais. Globalement l'Afcdp c'est au moins une réunion par semaine en France avec de nombreux événements qui vont de quelques dizaines à plusieurs centaines de personnes avec l'Université.
Cette parenthèse Covid de 2 ans a-t-elle impacté les projets des DPO ?
Cela a impacté les projets des DPO mais cela a surtout été une crise qui avait des dimensions extrêmement fortes en termes de données personnelles. A travers d'abord le recours au télétravail qui a généré des données à caractère personnel, c'est un point non négligeable. Et puis la 2e chose, c'est le fait que la numérisation de notre vie s'est fortement renforcée pendant cette période et que cela s'est retrouvé dans le recours à des données à caractère personnel. Donc cela fait beaucoup de travail dans l'urgence, avec des éléments perturbateurs et des conditions de travail qui n'étaient pas les mêmes. Donc cela fait deux années très actives pour les adhérents de l'Afcdp.
Bientôt 4 ans après l'entrée en vigueur du RGPD quel bilan faites-vous en termes de maturité ?
Ce sont des sujets qui sont effectivement compliqués, qui ont des impacts assez forts sur le fonctionnement des organisations et qui mettent sous tension les organisations et en particulier la personne qui est en charge d'assister la direction dans le respect des obligations liées au RGPD, le DPO. Ce que l'on voit ce sont des recherches de solutions pragmatiques pour faire face à ce nouvel environnement réglementaire avec l'invalidation du Privacy Shield qui pose de réels et de très profonds problèmes.
Il y en aussi l'émergence de nombreuses réglementations DSA, DMA, DLA... Il y en a beaucoup qui arrivent...
C'est un vrai sujet dont l'Afcdp s'est emparé. On a mis des ressources pour travailler sur ces nouvelles réglementations qui sont en cours de mise en place. Ce que l'on peut constater, c'est que manifestement les problématiques liées à l'articulation entre ces nouveaux textes et le RGPD, n'est pas quelque chose qui semble à ce stade-là, avoir été bien pensé, bien réfléchi. Et c'est quelque chose qui va amener des sujets complexes pour les organisations. C'est un sujet sur lequel on souhaite que l'Afcdp puisse fournir des éléments de réflexion mais aussi des éléments de réponse et d'analyse pour ses adhérents.
En 2021, 1,1 milliard d'euros d'amendes ont été versés au titre du RGPD en Europe, 130 000 notifications. Que pensez-vous de ces chiffres ?
Ce sont des montants à relativiser et les sanctions ne sont pas forcément les mêmes suivant les autorités. Deuxièmement à l'échelle de l'Union européenne ce n'est pas forcément un montant qui apparaît énorme, compte tenu du fait qu'il y a une utilisation extrêmement large de données à caractère personnel dans le fonctionnement de l'économie et de la société. C'est une position qui paraît peut-être un peu intermédiaire. Ce qui serait intéressant, ce serait de comparer les sanctions au titre RGPD par rapport aux sanctions de type droit de la concurrence ou d'autres de de ce type-là. Il faudra voir comment cela évolue dans le temps.
En France il y a eu beaucoup d'amendes : sont-elles en phase avec les risques et conséquences sur les violations de données personnelles ?
Il me semble que ce sont les montants qui sont en phase et qui ne sont pas déraisonnables par rapport aux enjeux portés par ces organisations et les données qu'elles gèrent. Cela semble être des sanctions proportionnées.
Concernant le refus des cookies, faut-il plus contraindre que sensibiliser les entreprises ?
Il faut voir le business model qui est derrière. En fait on a quand même beaucoup d'activités qui ont fonctionné sur le type gratuité contre données, et avec les modèles bifaces tels qu'ils ont été analysés par Jean Tirole. Toutes les discussions autour des cookies portent sur ces modèles économiques : est-ce que l'on peut avoir des services gratuits avec en contrepartie une session implicite de données à caractère personnel ? C'est la question que l'on peut se poser, sachant qu'il faut voir ce qui est financé. On est dans une période où les choses se bousculent avec des conséquences qui sont loin d'être négligeables.
Il y a aussi l'exploitation des données personnelles à grande échelle des GAFAM qui sont sanctionnées : pensez-vous qu'ils sont assez responsabilisés ?
Sur les GAFAM on a un problème très particulier parce que l'on a des entreprises qui ont été au coeur de l'innovation technologique sur les 20-30 dernières années qui se sont constituées des positions de monopole internationaux et mondiaux.
Jusqu'où cela peut-il aller ? Facebook dit qu'il veut se retirer de l'Europe...
Pour Facebook et Instagram il me semble qu'il y a quand même une certaine unité de décision les concernant. Oui, mais dans ce cas-là il relance la part de chiffre d'affaires qui correspond à leur activité en Europe.
Pensez-vous aujourd'hui que le numérique souverain est aujourd'hui celui des compromis ? A-t-on fait un deuil de la véritable souveraineté 2.0, celle de Cloudwatt et Numergy qui auraient réussi ?
Alors est-ce que à l'époque on a construit Cloudwatt et Numergy pour qu'ils aient véritablement la capacité de réussir ? C'est une bonne question...
112 M€ chacun quand même...
Oui mais qu'est-ce qu'il en reste ? C'est le premier sujet. Le deuxième sujet de la souveraineté c'est une question qui n'est pas aussi simple que cela. Etre souverain, cela signifie de produire tous ses outils et d'être totalement en situation d'autarcie ? Où est-ce une situation d'interdépendance plus intelligente et plus construite ?
L'Europe, la France doit-elle s'y résoudre ?
L'Afcdp n'a pas institutionnellement nécessairement de point de vue sur cela. Sa vocation, c'est de regrouper des professionnels pour leur permettre de mieux exercer leur métier. Là c'est un principe de réalité qui fait que si on veut équiper une multinationale d'un système bureautique qui permette un niveau de sécurité, de collaboration à tous les acteurs, il n'y a pas énormément de solutions utilisables. C'est la même chose pour les outils de visio comme Zoom.
2022 est une année d'élection présidentielle, quel bilan faites-vous de ce quinquennat en termes de protection des données personnelles et de garantie des droits ?
Sur un exercice d'un mandat politique en France, un quinquennat n'est pas forcément la bonne échelle pour mesurer les problématiques auxquelles doivent faire face les DPO qui eux, ont surtout vu une période sur les 5 dernières années, marquée par la préparation puis l'entrée en vigueur du RGPD. Notre actualité sur les 5 dernières années, c'était plutôt cela. Ensuite, effectivement, il y a des interactions avec les réglementations mais l'événement marquant de ces 5 dernières années, c'est bien l'entrée en vigueur du RGPD.
Et pour l'Afcdp en 2022, à quoi s'attendre ?
2022 et les années suivantes seront pour l'association la constitution d'un nouveau conseil d'administration. Et de vivre et préparer la gestion des données à caractère personnel dans une ère normale post Covid.