AFCDP : « l’environnement juridique européen est complexe »

L’AFCDP, c’est quoi précisément ?

C’et une association de DPD/DPO conçue par et pour les DPD/DPO. Créée en 2004, elle promeut le métier de Correspondant Informatique et Libertés (CIL) devenu dorénavant le Délégué à la Protection des Données.

Le contexte juridique européen …

Si le DPO est impliqué dans la sécurité globalement, il n’est pas en première ligne (sauf si RSSI en même temps). Une question a été justement posée aux DPO dans le dernier baromètre de l’AFCDP : est-ce que la situation géopolitique a un impact pour vous ? . « Pour le moment, l’impact n’est pas perçu comme important et majeur » souligne Patrick Blum.

Aujourd’hui, les DPO sont bien plus préoccupés par l’évolution réglementaire autour de la protection des données (textes en discussion au niveau européen). « Au-delà du RGPD tout juste maitrisé avec un texte loin d’une grande simplicité, les DPO voient pointer de nouveaux textes complémentaires, dont les frontières ne semblent pas toujours simples avec le RGPD ».

Si les textes DMA (Digital Market Act) et DSA (Digital Service Act) qui ont soulevé certaines interrogations, sont en cours d’adoption, « le DGA (Digital Governance Act) entériné et publié au JO, semble poser quelques problèmes, notamment avec l’apparition de nouveaux concepts : notion d’utilisateur de données et de détenteur de données ». Alors se pose la question : qu’est-ce qu’un détenteur de données par rapport à un responsable de traitement par exemple ? Le DGA entrera en application dans un an et demi.

S’en suivront le Data Act, et un texte autour de l’Intelligence Artificielle en cours de préparation… on voit bien que « ce contexte juridique va rendre les choses plus compliquées ». Tous ces sujets sensibilisent au plus près les DPO.

« Les associations de DPO sont fédérées au niveau européen dans une confédération au sein de CEDPO qui est consultée par la Commission Européenne, mais il reste sans aucun doute beaucoup à faire pour une consultation pro-active ».  

Aujourd’hui, si consensus il y a, on peut dire que l’environnement juridique européen demeure complexe.

Le métier de DPO

Selon l’étude du Ministère du Travail sur le métier de DPO (fin 2021), opérée par l’AFPA, et pilotée par la CNIL et l’AFCDP, découvrons quelques points à retenir.

« Les DPO sont plutôt à l’aise avec l’application des textes et avec leur métier. Les DPO considèrent que leur métier est utile socialement (protection des données). Une bonne partie considère son métier comme satisfaisant à titre individuel, ce qui est rassurant. Toutefois, l’étude révèle l’arrivée de DPO actifs à 25 % et moins de 25% de leur temps. Leur fonction est accessoire par rapport à d’autres activités ». Même si la fonction de DPO n’est pas obligatoirement un fonction à plein temps,  une interrogation persiste : ces DPO ont-ils eu une formation ou ont-ils un vision complète de la fonction ?

Après la première grande vague de DPO désignés dès 2018, on relève d’autres désignations obligatoires (grands groupes), et aujourd’hui, on voit des désignations dans des organismes de taille plus petite. « Outre ses compétences techniques et juridiques, n’oublions pas que le DPO doit bénéficier de moyens (formation) pour agir et travailler efficacement et avec cohérence », mais est-ce réellement le cas pour tous ? La CNIL alerte notamment sur ce point.

Ainsi, 4 ans après la mise en vigueur du RGPD, le sujet de la protection des données reste évidemment au cœur des préoccupations !