Juridique

Paul-Olivier Gibert (AFCDP) : « de nombreuses entreprises vont avoir l'obligation de se doter d'un DPO »

Paul-Olivier Gibert, président de l'AFCDP, se désole d’un respect de la réglementation qui reste « perfectible ».

Paul-Olivier Gibert, président de l'AFCDP, tire le bilan de la Onzième Université des CIL et se désole d'un irrespect de la réglementation par la plupart des entreprises alors que les sanctions atteindront bientôt 4 % du chiffre d'affaires mondial ou 20 millions d'euros. L'architecture actuelle des SI ne simplifie pas le respect de la Loi. Il explique également les autres changements induits par le RGPD (Règlement Général européen sur la Protection des Données personnelles) comme la désignation fréquemment obligatoire d'un DPO (Délégué à la protection des données).

PublicitéCIO : Quel bilan tirez-vous de la Onzième Université des CIL que vous avez organisée le 25 janvier 2017 à Paris ?

Paul-Olivier Gibert : Nous avons réuni 500 personnes, toutes membres de l'AFCDP [Association Française des Correspondants à la protection des Données Personnelles], soit un quart de l'effectif. Cela marque l'attachement des adhérents à l'association qui prouve aussi sa capacité à fournir des contenus pertinents pour leur exercice professionnel.
L'Université des CIL [Correspondants Informatique et Liberté] est à ce jour le plus gros événement consacré à la protection des données personnelles en France. L'intérêt de notre thématique s'accroît bien sûr à l'approche de l'application du RGPD [Règlement Général européen à la Protection des Données personnelles], le 25 mai 2018.

CIO : Pour les CIL et pour votre association, que change le RGPD ?

Paul-Olivier Gibert : Les CIL vont de fait avoir un espace de développement pour leur fonction. Le RGPD institue en effet le DPO [Délégué à la Protection des Données Personnelles]. Mais cela ne signifie pas une rupture fondamentale : le CIL était déjà prévu dans la directive européenne de 1995 et est arrivé en France par la loi de 2004. Le DPO est une évolution du CIL qui a été rendue possible car le CIL a fait la preuve de son efficacité.
Parmi les grands changements, il faut tout de même signaler qu'il existera de nombreux cas de désignation obligatoire du DPO alors que le CIL était facultatif. Cette obligation concernera d'une part le secteur public, d'autre part les entreprises privées qui traitent soit des données sensibles soit des données personnelles à grande échelle. D'un point de vue gestion des risques, il sera préférable de désigner un DPO en cas de doute sur la soumission de son organisme à cette obligation.
Pour l'AFCDP, nous attendons une nette croissance du nombre d'adhérents. Actuellement, elle est de 10 à 15 % par an et elle devrait passer à 20 ou même 40 % en 2017.

CIO : Les sanctions prévues par le RGPD sont lourdes mais seulement un tiers des entreprises respecte les règles selon votre Index [voir l'encadré]...

Paul-Olivier Gibert : De fait, il y a de très gros progrès à faire. Mais la situation s'est plutôt améliorée par rapport à avant 2004 et la désignation des premiers CIL.
Il y a deux axes d'actions. Le premier concerne l'amélioration des processus pour respecter les règles légales.
Mais le deuxième relève de l'architecture du système d'information. Beaucoup d'entreprises utilisent des SI dont l'architecture date de 20 à 40 ans. Il est, à cause de cela, parfois très compliqué de savoir où se situe des informations concernant une personne. Et la procédure de collecte puis de transmission en cas de demande d'accès reste très manuelle.
Outre que les demandes sont rares dans les faits, les outils manquent et il reste aussi à sensibiliser les entreprises. Mais le montant des amendes prévues par le RGPD devrait amener certains dirigeants d'entreprises à sérieusement réfléchir.

63,4 % des organisations encourront une possible amende de 20 millions d'euros

L'AFCDP est l'association représentative des CIL (Correspondants Informatique et Liberté, futurs DPO, Délégués à la protection des données). Elle regroupe 2000 personnes physiques, la plupart représentant des personnes morales. Elle dispose de 11 groupes locaux en France et organise 45 manifestations dans l'année. Sa cotisation annuelle est de 100 euros pour les personnes physiques et 400 euros pour les personnes morales.

L'association publie annuellement un Index AFCDP du Droit d'Accès. Il est issu de l'interrogation d'organismes publics et privés par les étudiants du mastère spécialisé « Informatique et Liberté » de l'ISEP qui réclament l'accès aux données personnelles les concernant et mesurent la conformité réglementaire de la réponse faite. En 2016, 160 organismes ont été interrogés.
Seuls 60,3 % des organismes sollicités ont « réagi » aux demandes faites. 52,4 % ont transmis des données dans le délai légal de deux mois. Mais 36,6 % seulement ont répondu de manière conforme à la réglementation. Le score avait été meilleur en 2015 avec 37,4 %.

A partir du 25 Mai 2018 et si rien ne change, 63,4 % des organisations sont donc susceptibles d'être frappées d'une sanction pouvant atteindre 4 % du chiffre d'affaires ou 20 millions d'euros.