L'AFCDP attend le futur règlement européen sur les données personnelles de pied ferme

Paul-Olivier Gibert, président de l'AFCDP (Association française des correspondants à la protection des données personnelles)

Paul-Olivier Gibert est président de l'AFCDP (Association française des correspondants à la protection des données personnelles). Cette association a tenu son université annuelle le 27 janvier 2015, une occasion de détailler les enjeux pour les CIL.

PublicitéCIO : Pouvez-vous nous présenter l'AFCDP ?

Paul-Olivier Gibert : L'Association française des correspondants à la protection des données personnelles a été créée en 2004. Elle réunit, au 31 décembre 2014, 1589 personnes physiques pour 596 adhérents. Ceux-ci sont d'une part 138 personnes physiques adhérents directs et d'autre part 458 personnes morales déléguant de 1 à 15 représentants. La tendance forte est une diminution -en valeur absolue comme en proportion- du nombre de membres individuels et une forte croissance du nombre de personnes morales.
Il y a quelques années, il était fréquent qu'une entreprise fasse adhérer à titre individuel son CIL (Correspondant Informatique et Liberté), à titre de test, avant d'adhérer elle-même. Désormais, la règle est plutôt l'adhésion directe des personnes morales.
Parmi nos membres, nous comptons les deux tiers du CAC 40, des grandes entreprises publiques comme La Poste, des organismes de la sphère sanitaire et sociale, des collectivités territoriales et toute la variété des situations en termes de statuts ou de tailles. Nos adhérents relèvent pour environ 60% du secteur privé et 40% du secteur public.
La cotisation individuelle normale est de 100 euros par an (50 euros pour les CIL en recherche d'emploi), les cotisations de personnes morales de l'ordre de 450 à 1200 euros par an pour les cas ordinaires, avec des cas particuliers pour les très grandes structures. Nous avons fait voeu d'indépendance et notre financement repose donc presque intégralement sur les cotisations, des sponsors étant sollicités pour certains événements.

CIO : Quelles sont vos activités ?

Paul-Olivier Gibert : Tout d'abord, nous disposons d'une trentaine de groupes de travail, d'une part des groupes de réflexion thématiques (préparation au règlement européen, charte déontologique du CIL...), d'autre part des groupes régionaux (le dernier en date : Poitou-Charentes).
Notre réseau social interne, Agora AFCDP, est également très actif. 1021 comptes ont été créés sur les 2600 personnes connues de l'association. 6000 articles et 7000 commentaires y sont rédigés en moyenne chaque année. Son but est essentiellement d'échanger sur les bonnes pratiques. Une rubrique « help » permet aussi de demander de l'aide face à une situation délicate.
Bien entendu, nous éditons une newsletter de veille qui traite autant de l'actualité française qu'internationale autour des données personnelles.
Enfin, nous nous voulons porte-parole de la communauté des CIL lorsque c'est utile. Par exemple, nous avons récemment approuvé la déclaration du G29 [groupe des autorités homologues de la CNIL en Europe, NDLR] faite à l'UNESCO en décembre 2014.

CIO : Vous venez d'organiser votre université annuelle. Quels ont été les enseignements que l'on peut en tirer ?

PublicitéPaul-Olivier Gibert : En effet, l'université s'est déroulée le 27 janvier 2015 à l'IBM Forum, à Colombes. Elle est, si on excepte nos quelques invités et certains intervenants, réservée aux adhérents de l'association. 400 participants avaient fait le déplacement pour cette neuvième édition. La journée a été décomposée en un colloque classique en plénière le matin et des ateliers l'après-midi.
Parmi les grands thèmes abordés en plénière, on peut citer le cloud computing qui amène une grande mutualisation entre entreprises. Mais toutes les transformations induites n'ont pas encore été menées. En accueillant une personnalité comme Henri Verdier, le CDO de l'Etat, nous avons abordé le sujet de l'open-data.
La data-minimisation, c'est à dire la réduction maximale des données stockées et traitées, a été étudiée avec un chercheur d'IBM. Nous avons également discuté de l'opposition entre consentement préalable et intérêt général. Enfin, la présidente de la CNIL, Isabelle Falque-Pierrotin, nous a entretenu de l'actualité et des enjeux actuels en matière de données personnelles.

CIO : Et dans les ateliers ?

Paul-Olivier Gibert : Ces ateliers sont en plus petit comité, bien sûr. On y a traité du datamining pour lutter contre la fraude, de la préparation d'un contrôle de la CNIL, du CV anonyme, des dérives de l'IP-Tracking avec un expert de la DGCCRF, d'e-santé...
Un très intéressant atelier, animé par la FING (Fondation pour l'Internet Nouvelle Génération), a fait le bilan d'une recherche sur « Mes Infos ». Il s'est agi d'une expérience de délivrance de toutes les informations détenues par un certain nombre d'organismes et d'entreprises sur une personne à celle-ci. L'idée était de voir comment cette personne réagissait mais aussi d'essayer d'imaginer les services que l'on pourrait tirer de ces données. Par exemple, l'étude du ticket de caisse permet de réaliser une analyse des courses alimentaires du point de vue nutritionnel.

CIO : Quelles différences voyez-vous entre le CDO -comme Henri Verdier-, le CIL et le DPO ?

Paul-Olivier Gibert : Le CDO n'a pas de définition réglementaire. Sa fonction est d'optimiser la valorisation et l'exploitation des données, y du point de vue de la sécurité de celles-ci, ce qui l'amène à travailler avec le CIL.
Le CIL, lui, est issu de la transposition en droit français du délégué à la protection des données personnelles prévu dans la directive européenne via la loi de 2004. Son rôle essentiel est de veiller à l'application de la loi dans son organisation en tenant un registre des traitements de données personnelles qui tient lieu de la plupart des démarches à effectuer auprès de la CNIL.
Le DPO, enfin, est le Data Protection Officer. Sa fonction est prévue dans le projet de règlement européen attendu pour la fin de l'année 2015. Il est une évolution du CIL. Son périmètre de fonction est plus vaste, ses responsabilités sont mieux définies et sa place est plus précisément fixée que celle du CIL actuel.

CIO : Lorsqu'une entreprise veille à sa conformité réglementaire du point de vue de la Loi Informatique et Liberté, n'est-ce pas par seule peur du gendarme, la CNIL en l'occurrence ?

Paul-Olivier Gibert : La conformité est une traduction de l'anglais compliance. Mais il serait plus juste de traduire le concept par observance. Il s'agit de respecter volontairement, de s'engager à respecter même, une règle et, au delà, d'intégrer cette règle à tous ses modes de fonctionnement. Le terme compliance est, comme observance, notamment employé pour les règles d'ordres monastiques.
Bien sûr, la peur du gendarme est un moteur de la conformité. Mais la CNIL affiche régulièrement sa volonté d'inciter les organisations à adopter une démarche volontaire d'observance. La CNIL cherche ainsi à travailler en confiance avec certaines professions pour accompagner leurs membres dans la conformité.
Pour prendre une image, si je roule trop vite en voiture, je prends des risques autant pour moi que pour les autres. Respecter la limitation de vitesse doit être lié à un engagement bien plus profond que la seule peur du gendarme. Il en est de même pour le respect des règles concernant les données personnelles.