Paul-Olivier Gibert (AFCDP) "Pas mal d'opportunistes incompétents proposent de l'accompagnement RGPD"
Le président de l'Association française des correspondants à la protection des données personnelles a collaboré à l'ouvrage "Se préparer au RGPD".
JDN. Quel est le principal défi qui attend les entreprises qui doivent se mettre en conformité avec le règlement européen sur la protection des données (RGPD) ?
Paul-Olivier Gibert (AFCDP). Le principal défi pour les entreprises et les organismes, car tous les responsables de traitement de données sont concernés, est de bien intégrer que les données à caractère personnel doivent être traitées et manipulées avec précaution. C'est important car les sanctions que la Cnil pourra adopter en cas d'infraction changent complètement d'échelle. Elles peuvent s'élever à 10 ou 20 millions d'euros ou 2 à 4% du chiffre d'affaires annuel mondial de l'entreprise, le montant le plus élevé étant retenu. Une prise de conscience est donc nécessaire avec cette révolution technologique amenée par le big data.
Le RGPD entre en application le 25 mai 2018. Les entreprises françaises sont-elles dans les temps pour s'y conformer ?
Une chose est sûre, le besoin de se mettre en conformité a été identifié par la majorité d'entre elles. Mais le niveau de compréhension des obligations qu'entraîne ce règlement est en revanche très hétérogène, comme peuvent en témoigner les publications sur le Web ou les livres blancs publiés par des spécialistes auto-revendiqués. Attirés par le business potentiel de ce marché, un bon nombre de nouveaux entrants peu compétents se sont positionnés sur l'accompagnement vers le RGPD. Et je lis beaucoup de contre-vérités sur le sujet. On ne s'improvise pas expert en droit de la donnée.
Les entreprises du CAC 40 ont lancé leur projet RGPD. Toutes n'ont évidemment pas la même sensibilité mais les structures se mettent en place. Ça n'avance pas facilement car les chantiers sont légions et les problèmes pluridisciplinaires. Il y une forte dimension juridique et une vraie problématique organisationnelle.
Il est important de préciser que toutes les structures qui peuvent traiter de la donnée relative à un ressortissant européen sont concernées, même si leurs data centers ou leur siège social sont hors d'Europe. Les GAFA sont donc concernés. Ces derniers ne sont certainement pas indifférents au texte. Ils étaient d'ailleurs très fortement présents lors de la bataille d'amendements qu'a suscité la première version du RGPD.
En quoi le RGPD est-il une opportunité pour ces entreprises ?
Je ne dirais pas que la conformité RGPD est un avantage concurrentiel mais j'ai une certitude : les entreprises qui ont une relation client de qualité n'ont aucune raison de craindre ce texte. Ça ne brisera pas leur modèle économique. Je pense que l'arrivée du RGPD est aussi une opportunité pour le consommateur lambda. C'est positif pour la protection du droit et des libertés. Les individus pourront avoir plus de pouvoir sur le traitement de leurs données, qu'il s'agisse de le limiter ou de faire jouer le droit à l'oubli.
Une des nouveautés c'est l'arrivée du data protection officer (DPO). Quel est le profil type de cet interlocuteur ? Sera-t-il un collaborateur interne ou externe de l'entreprise ?
Ce n'est pas vraiment une nouveauté dans le sens où ce statut est en fait l'évolution naturelle de la fonction de correspondant informatique et liberté (CIL). Ces derniers sont déjà une dizaine de milliers selon la Cnil. Les entreprises avaient jusque-là l'obligation d'internaliser cette fonction si plus de 50 personnes utilisaient les données traitées. Cette obligation disparaît avec le RGPD. Une entreprise qui a des données mais n'est pas capable de mobiliser un collaborateur au moins à mi-temps sur ce sujet aura intérêt à externaliser. On voit déjà quelques cas à l'étranger où des grands groupes ont confié cette mission à des cabinets d'avocats ou d'audit. Mais il est un peu tôt pour dire qu'elle sera la tendance générale car les désignations officielles ont à peine commencé.
Paul-Olivier Gibert est président de l'AFCDP, l'Association française des correspondants à la protection des données personnelles. Il est également collaborateur de l'ouvrage "Se préparer au RGPD" qui paraîtra le 8 novembre prochain.
Le 12 décembre prochain, le JDN organise la Nuit du DPO, un événement 100% dédié aux DPO des grandes entreprises. A travers la présentation d'une étude exclusive et la remise de trophées, cette soirée vise à mettre en valeur et mieux connaître cette nouvelle fonction.