Paul-Olivier Gibert, président de l'AFCDP, association qui contribue à la promotion des DPO et favorise la remontée des informations, estime que le rôle des délégués gagne encore en importance dans le contexte actuel.
Autrefois connus sous un autre nom, les délégués à la protection des données (DPO) sont d'une importance capitale pour toute entité soumise au RGPD, en vigueur depuis le 25 mai 2018. Et encore plus depuis l'éclatement de la pandémie de COVID-19. L'Association française des correspondants à la protection des données à caractère personnel (AFCDP), qui depuis sa création en 2004 a accompagné l'évolution du métier de DPO, facilite les échanges entre ses membres, le public et les autorités.
Pour en parler plus longuement et discuter de ce métier de DPO, mais aussi évoquer les questions du transfert des données personnelles et les convoitises autour des données de santé, nous sommes allés à la rencontre du président de l'AFCDP, Paul-Olivier Gibert, durant les Assises de la sécurité, à Monaco.
Interview de Paul-Olivier Gibert, président de l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP)
Clubic : L'AFCDP a franchement vu son rôle évoluer depuis 2004...
Paul-Olivier Gibert : Effectivement. En 2004, nous étions juste un peu avant l'entrée en vigueur la loi mettant en œuvre la directive de 1995 sur la protection des données à caractère personnel, qui avait créé la fonction, à titre exploratoire, de correspondant informatique et libertés (CIL). Cette dernière s'est développée plus que ne le pensait la CNIL, et fut la préfiguration du DPO, le délégué à la protection des données. Avec l'entrée en vigueur du RGPD, l'AFCDP est devenue une association, non plus des correspondants informatique et libertés, mais des data protection officer français. Elle a connu une très forte croissance, puisque nous sommes aujourd'hui plus de 6 500 professionnels au sein de cette association.
Le DPO est une création du RGPD, qui reprend une disposition qui existait dans la directive de 1995, mais en la rendant plus importante et plus stricte, c'est-à-dire qu'elle est obligatoire pour les organismes publics et pour un certain nombre d'organismes qui traitent des données à haute intensité, à caractère personnel, avec des traitements forts de celles-ci.
« Il faut investir pour garantir sa protection contre les sanctions »
Pour celles et ceux qui l'ignorent encore, pouvez-vous nous livrer votre définition du métier de DPO et ses missions ?
Le DPO est une personne très importante qui travaille auprès du responsable de traitement, donc de la direction de l'entreprise, de l'association, de la collectivité territoriale, de hôpital ou d'une administration, pour conseiller et assister cette direction dans le respect des dispositions du RGPD, de façon à assurer la protection des droits et libertés des personnes. Sa présence est devenue obligatoire dans certaines entreprises il y a deux ans.
Aujourd'hui, pensez-vous que la nécessité du DPO devrait être étendue à tous les acteurs de l'économie, même les plus petits ?
Tout dépend d'un certain nombre de critères. Tous les organismes ou entreprises n'ont pas nécessairement de traitement des données à caractère personnel qui puisse être considéré comme étant un enjeu pour les droits et libertés des personnes. Le RGPD contribue au développement du rôle du DPO. Mais de là à dire que toute entreprise ou organisation devrait avoir un DPO, ce n'est pas prévu par le RGPD et ce n'est pas obligatoire, ni pertinent.
A-t-on une idée du coût que représente un DPO pour une entreprise ? Car cela représente bien un coût supplémentaire, malgré tout...
Ce n'est pas nécessairement un coût supplémentaire. Les entreprises qui ont le moins de soucis pour le respect du RGPD sont celles qui s'étaient impliquées fortement dans les problématiques de protection des données à caractère personnel depuis 2005. Il faut certes rappeler que c'est un coût, et que le non-respect du RGPD a également un coût, puisque les sanctions peuvent monter jusqu'à 4 % du chiffre d'affaires, ce qui est loin d'être négligeable. Il y a aussi les coûts collatéraux de la sanction, comme la perte de confiance vis-à-vis des consommateurs et des internautes, avec une notion de coût par rapport au risque. Il faut effectivement investir pour garantir sa protection contre les sanctions.
« Avec des interactions qui passent par le numérique et sont génératrices de données, le DPO va avoir encore plus de travail »
Nous parlions des sanctions, avec des amendes qui peuvent atteindre jusqu'à 4 % du chiffre d'affaires annuel de l'entreprise. Beaucoup ont reproché à la CNIL de ne pas être assez sévère. Est-ce parce que nous n'en sommes encore qu'au « début » de la vie du RGPD, ou est-ce un défaut de l'autorité ?
La sanction contre Google (Ndlr : condamnée à 50 millions d'euros d'amende en janvier 2019, effaçant à l'époque le précédent record français de 150 000 euros) est arrivée au début du RGPD. Ce fut la première sanction à plusieurs dizaines de millions d'euros prononcée par la CNIL.
Au Royaume-Uni, il existe des procédures de sanction engagées vis-à-vis d'entreprises qui ne sont pas issues des GAFA mais qui, potentiellement, devraient amener des sanctions à plusieurs centaines de millions de livres. La taille des enjeux a récemment changé d'échelle pour les entreprises et les organisations.
Concernant le transfert de données, l'Irlande veut mettre fin au Privacy Shield, l'une des bases juridiques qui permettaient le transfert transatlantique des données personnelles de l'UE vers les États-Unis, ce qui embête bien Facebook et les autres entreprises qui en dépendent. Qu'en pensez-vous ?
Ce n'est pas la première fois qu'il y a un problème lié à Max Schrems pour les bases légales de transfert entre l'Europe et les USA. La première fois justement, c'était en 2013. Ce qui a changé, c'est que depuis 2013, beaucoup de services Cloud se sont développés, construits avec une communication ou une possibilité de transfert des données vers les États-Unis ou d'autres zones. Pour Facebook, l'appel du chiffre d'affaires permettra de compenser la crainte de certaines choses. Mais pour d'autres organisations et entreprises, ça pourrait créer un vrai problème, une vraie fragilité juridique.
Parlons à présent de Gaia-X, qui se veut être le futur Cloud européen et qui vient récemment de se constituer en association. Dans la pratique, on a plus l'impression d'avoir affaire à un moteur de recherche des offres Cloud. Pensez-vous que cela peut être utile aux fournisseurs européens ? Et que cela puisse rétablir une certaine souveraineté européenne ?
Je pense que Gaia-X peut être utile. C'est une belle idée industrielle, mais il faudra la transformer en réalisation concrète. Tout ce qui peut amener à l'émergence en Europe d'entreprises ayant des capacités équivalentes à celles des GAFA ou des autres entreprises américaines va dans le bon sens.
« Pour facebook, l'appel du chiffre d'affaires permettra de compenser la crainte de certaines choses »
Gaia-X prévoit d'être ouvert aux offres étrangères, par exemple celles d'Azure. Cela ne remet-il pas en cause la pertinence du projet et sa dimension souveraine européenne ?
Il ne faut pas avoir trop peur de ça. Si je vous parle d'un temps que les moins de 40 ans n'ont pas connu... Sur le nucléaire, par exemple, même si cela marche moins bien, la France a été très fière d'avoir une industrie nucléaire et de construire des centrales. Ce qu'il ne faut pas oublier, c'est que cela vient d'un contrat de licence avec Westinghouse conclu il y a des décennies, et que la licence a été francisée. Il ne faut pas être dans une logique de fermeture « à la nord-coréenne », mais considérer que nous avons un mouvement des idées, des réalisations et inventions qui peuvent être mutualisées, et que c'est comme cela que nous réussirons à créer l'industrie française et européenne.
Les données de santé sont ciblées de plus en plus régulièrement par les hackers, notamment au travers des hôpitaux. Est-ce que ces institutions hospitalières vont être de plus en plus frappées avec les années ?
Il y a deux choses différentes : piquer les données pour les réutiliser et générer de la valeur pour leur exploitation, et faire du ransomware en bloquant le système, ce n'est pas tout à fait la même chose. Attaquer un hôpital pour une rançon, c'est inqualifiable.
Quel est votre avis sur l'incursion des géants du numérique, comme Google, dans le domaine de la santé ?
Ici, on parle de gens qui investissent pour avoir une capacité à utiliser les données de santé.
« toutes les données de santé ne sont pas équivalentes. Ce n'est pas la même chose d'avoir des constantes mesurées par son Fitbit et d'avoir des données d'examens médicaux ou d'imagerie »
Mais n'est-ce pas un risque, de céder des données d'une si grande importance aux mains d'un acteur que rien n'arrête, comme en témoigne la volonté de rachat de Fitbit, même si pour l'instant, l'UE met son veto ?
Oui, c'est tout le problème. Les GAFA ont fait une bonne partie de leur fortune en ayant un accès à peu près exclusif à certaines données relatives à la navigation sur Internet. S'ils font ça sur d'autres types de données, comme les données financières ou de santé, ça crée un problème. Mais toutes les données de santé ne sont pas équivalentes. Ce n'est pas la même chose d'avoir des constantes mesurées par son Fitbit et d'avoir des données d'examens médicaux ou d'imagerie. Il y a effectivement un enjeu autour de l'exploitation des données, c'est d'ailleurs pour cela qu'a été créé le Health Data Hub, de façon à ce que la France ait une capacité à fédérer et à organiser l'exploitation des data.
S'agissant de l'AFCDP cette fois, avez-vous par exemple des remontées d'informations ?
L'association est structurée autour de ses adhérents. Elle a pour première fonction de leur fournir un espace d'échanges et de rencontres, où ils peuvent échanger sur les types de problèmes qu'ils rencontrent et comment ils les traitent. Ensuite, elle a vocation à transmettre et assurer une remontée vers les pouvoirs publics et les médias sur les problématiques de protection des données à caractère personnel. On s'organise pour que les débats qui apparaissent au sein de l'association puissent être transposés au niveau national et sociétal. C'est d'une grande utilité, car les données sont vite revenues avec le premier confinement comme étant un enjeu sensible, avec le traçage et la détection des cas contacts. L'AFCDP, à travers la presse, a exprimé les remontées du terrain rencontrés par les DPO.
Il y a donc bien une recrudescence de l'activité avec la COVID-19 ?
Il y a eu une recrudescence sur l'activité et sur l'intérêt pour ces sujets. Nous sommes dans une période où nous avons moins de contacts physiques qu'auparavant. Tout cela bascule par des interactions qui passent par le numérique et sont génératrices de données. Le problème des données à caractère personnel est en train de changer d'ampleur. Il avait déjà une grande importance, notamment à travers l'utilisation des smartphones et du Web, mais celle-ci va augmenter. Cela donnera encore plus de travail aux DPO.