CIL, DPO ou CPO, des métiers d'avenir ?

Correspondant Informatique et Libertés, "Data Protection Officer" ou "Chief Privacy officer", trois d’entre eux, en charge de la protection des données personnelles dans leur entreprise témoignent de leur expérience.

Le projet européen de réforme de la protection des données [1] dont l’adoption est attendue d’ici 2015, prévoit un renforcement du rôle de Délégué à la Protection des Données notamment pour les  organisations traitant de grandes quantités de données ou des données sensibles.
Et pourtant. Tandis que chaque acte de notre vie fait l’objet d’une transcription numérique, ce que d’aucuns appellent la « datafication [2] »,  le rôle central du Délégué à la Protection des Données reste méconnu d’un grand  nombre d’entreprises.
C’est en Allemagne, dans les années 1970, que le premier « Privacy officer » a vu le jour (Datenschutzbeauftragter).  Il faudra ensuite attendre la directive européenne de  1995 sur la protection des données pour que la fonction se généralise. Ce texte prévoit que les organisations publiques et privées peuvent désigner un délégué à la protection des données personnelles afin de s’assurer de la conformité des traitements de données personnelles et notamment qu’ils ne portent pas atteinte aux droits et à la vie privée des individus.
La directive a été transposée en France en 2004 [3]. A l’instar d’autres pays [4],  la désignation d’un délégué à la protection des données est facultative. Il peut s’agir d’un salarié de l’organisation ou d’un prestataire externe. Le délégué porte le nom de Correspondant à la Protection des données à caractère personnel, plus communément appelé Correspondant Informatique et Libertés (CIL) [5].

Certains états imposent la désignation d’un délégué en fonction du secteur d’activité ou du nombre de personnes en charge des traitements[6].
Les délégués sont parfois regroupés au sein d’associations nationales ou internationales de professionnels, à l’instar de l’Association Française des Correspondants à la Protection des Données (AFCDP).
Depuis plusieurs années déjà, un certain nombre d’entreprises françaises ont désigné un responsable  à la protection des données personnelles.
Trois d’entre eux ont accepté de nous faire part de leur expérience et de répondre à quelques questions sur l’avenir de la fonction de CIL.
  • Hélène Legras est le CIL d’AREVA depuis 2007. Elle traite principalement des données relatives aux 48 000 salariés du groupe, soit en direct soit en assurant la coordination des actions menées au niveau national comme c’est le cas en Allemagne par exemple.
  • Patrick Blum est le CIL de l’ESSEC Business School. Il traite essentiellement des données relatives aux salariés et des données clients/prospects concernant notamment les étudiants et les diplômés.
  • Pierre-Yves Lastic est le Chief Privacy Officer (CPO) de SANOFI. Il couvre une organisation de 110 000 personnes dans plus de 100 pays. Outre les données concernant les salariés et les clients, il traite de données sensibles relatives à la santé et à la recherche.
Comme il aime à le dire, c’est Isabelle Falques Pierrotin [7] qui lui a donné la meilleure définition de sa fonction en assimilant le rôle du CPO à « celui du chef d’orchestre qui coordonne les CILs du groupe ».

Il est vrai que chez SANOFI les missions dévolues au Correspondant Informatique et Libertés ont  jusque-là été assurées de manière collective par un comité composé de représentants de fonctions clés et des entités juridiques de l’entreprise en France. Le CPO préside ce comité et coordonne l’action des délégués présents dans une centaine de pays en veillant au respect des législations nationales concernées.

Devient-on CIL par hasard ou par conviction ? 

  • HL : La désignation d’un CIL peut parfois être le fruit de la seule volonté de l'organisme sans que le futur CIL soit forcément volontaire. Par contre, la conviction est le moteur de la nomination de nombreux CIL (principalement les tous premiers nommés). C'est mon cas. J'ai monté un groupe de réflexion « CIL ou pas CIL » au sein d’AREVA dont les travaux ont convaincu la direction. Je savais que c’était un vrai challenge et j’avais envie d’exercer cette fonction que je pressentais passionnante même si les missions n’étaient pas vraiment définies par la loi.
  • PB : Dans mon cas, devenir CIL a été le fruit d'une conviction. J'étais déjà en charge de la conformité Informatique et Libertés, aussi lorsque la loi a introduit cette nouvelle fonction en 2004,  j’ai tout naturellement et activement milité pour la désignation d’un Cil au sein de l’ESSEC.
  • PYL : On devient CPO par hasard et par conviction, parce qu’une occasion se présente certes, mais aussi parce qu’il me parait impensable de s’investir dans une telle activité sans y croire.

Quand et pourquoi votre entreprise a-t-elle choisi de nommer un CIL ?

  • HL : AREVA avait une démarche de respect des obligations informatique et libertés et en qualité de juriste j’étais déjà en charge des déclarations à la CNIL. C’est donc très naturellement qu’AREVA a décidé de me nommer CIL après la modification de la loi en 2004.
  • PB : La décision a été rapide dès lors que la loi l’a permis. Cela s’inscrivait dans les valeurs défendues par l'ESSEC que sont l’engagement éthique et le respect des personnes.
  • PYL : Avant ma nomination en mai 2013, les questions de protection des données personnelles étaient traitées de manière autonome dans chaque filiale et au sein des différentes fonctions du groupe. Face au développement rapide de la santé mobile et digitale et dans un contexte de personnalisation de la médecine,  la nomination d’un CPO est apparue comme une évidence chez SANOFI. Cela répondait à la nécessité de disposer d’une équipe spécialisée, capable d’intervenir en support des opérationnels afin de garantir le respect des lois, d’encourager la mise en œuvre de bonnes pratiques et d’harmoniser les mesures de protection des données au sein de l’entreprise.

Il existe tous types de CIL, avec plus ou moins de pouvoirs. Comment vous définiriez vous en tant que CIL ?

  • HL : Je suis juriste chez AREVA depuis 25 ans. J’ai la chance d’être dans un groupe qui a beaucoup communiqué sur ma nomination. Je fais aussi beaucoup de formations. Les salariés et les opérationnels connaissent mon existence et n'hésitent pas à me consulter et à écouter mes recommandations. Le CIL a des pouvoirs si la Direction le soutient et s’il sait se rendre incontournable quand cela est nécessaire.
  • PB : Je ne prétends à aucun pouvoir mais je milite pour la reconnaissance de mon rôle et de mes missions si possible en amont des projets. Je fais des recommandations sur les modalités de mise en œuvre des traitements de données personnelles et essaie de m'assurer qu'elles sont suivies. En cas de difficulté, j'en informe de manière formelle le responsable de la mise en œuvre ou le responsable de traitement dans les cas qui me paraissent plus graves.
  • PYL : Mon équipe et moi conseillons chaque jour des responsables de département, des chefs de projets ou de simples employés pour les questions de « privacy ». Je suis l’auteur d’une « directive privacy » dont l’application est obligatoire dans l’ensemble du groupe et dont la mise en œuvre effective est contrôlée par l’audit interne. Je travaille la main dans la main avec le juridique (SANOFI est la première entreprise du CAC 40 à avoir mis en place des « BCR [8] »), la sureté, la sécurité informatique, les ressources humaines, la qualité, la direction médicale du groupe, la stratégie, le business développement et bien d’autres. Etre responsable de la protection des données et de la vie privée n’est donc ni un placard, ni une sinécure !

Finalement, le CIL n’est-il pas un empêcheur de tourner en rond ?

  • HL : Pour moi le CIL est un communiquant, un pédagogue et un acteur de la conformité.
    Il permet au contraire d'aller de l'avant.
  • PB : Bien au contraire. Comme je l'explique régulièrement,  le respect de la Loi Informatique et Libertés peut constituer un avantage compétitif en mettant en avant l'engagement sociétal de l'institution. La Loi Informatique et Libertés n'a pas pour vocation d'empêcher les traitements de données personnelles, mais plutôt de les encadrer pour protéger les individus concernés.
  • PYL : Ce n’est pas comme ça que je conçois cette fonction, bien au contraire, il s’agit d’aider mes collègues à faire les choses comme il se doit. Bien sûr, il arrive qu’on soit perçu comme un obstacle, et même si cela reste rare, on peut se heurter dans certains pays à une « incompréhension polie ».

Qu’est-ce que la réforme va changer pour vous en tant que CIL ou CPO ?

  • HL : Les relations avec les sous-traitants qui seront désormais responsables pénalement devraient changer. Le réseau du CIL au sein des entités du groupe sera très précieux pour faire face aux nouvelles obligations et notamment aux analyses d’impact des traitements à risques, au droit à l’oubli, à la protection dès la conception « Privacy by Design » , à l’obligation d’ « accountability » qui nous imposera de documenter les procédures et les mesures mises en place.  La mise en place de BCR sera de nouveau d’actualité.
  • PB : A priori, le règlement européen en cours de discussion devrait apporter un changement sensible dans l'esprit de la mission du CIL, dans la mesure où il prévoit, en particulier, la nécessité de procéder à une analyse de risque en amont des projets, avec élaboration d'une documentation conservée tout au long de la durée de vie du traitement. Cela suppose sans doute une augmentation des responsabilités attendues de la part du CIL.
  • PYL : La réforme va très certainement renforcer la position des CIL et convaincre le management de dédier plus de ressources à cette activité.

Pensez-vous que l'on puisse faire le portrait d’un CIL idéal ?

  • HL : Existe-t-il un CIL idéal ? Peut-être pas ! Mais il y a de ‘bons’ CILs. Le CIL doit être motivé, passionné, pédagogue, communicant, aimer les relations humaines, le droit, l'informatique et avoir une  bonne connaissance de son entreprise. Un bon CIL doit aussi savoir dire non.
  • PB : Dans le cadre de l'AFCDP[9], nous avons entamé une réflexion sur le métier de CIL. Il en ressort une grande diversité des CIL en activité (informaticiens, juristes, responsables qualité...). S’il parait difficile de trouver le CIL idéal, il me semble que le "bon CIL" est celui qui remplit son rôle conformément à l'esprit de la Loi Informatique et Libertés, ce qui est sans doute le cas de la majorité des CIL.
  • PYL : C’est d’abord quelqu’un qui connait très bien son entreprise, c’est-à-dire qui comprend ce que fait l’entreprise et comment elle le fait. C’est aussi une personne qui a une bonne compréhension des processus de travail et des systèmes informatiques qui les supportent et qui n’est pas rebutée par les textes juridiques. Le CIL doit être tenace et patient. Il doit avoir l’esprit de synthèse et savoir décrire simplement des processus complexes. Enfin, le CIL doit savoir et aimer communiquer. S’il attend qu’on vienne le chercher au lieu d’être proactif, se retranche derrière les textes de loi et passe plus de temps à se plaindre qu’à chercher des solutions, alors oui, c’est un mauvais CIL

Recommanderiez-vous à d'autres de devenir CIL (ou DPO) ?

  • HL : J'ai toujours recommandé de devenir CIL et continue de le faire ! C’est un métier varié, passionnant qui évolue en fonction de la réglementation et des développements technologiques. Vous ne pouvez pas être CIL si vous aimez le train-train quotidien.
  • PB : Sans aucun doute. D'abord par ce que c'est un métier palpitant de par sa complexité, à la croisée de  domaines aussi divers que les systèmes d’information, le droit ou la qualité. Ensuite parce que c'est un métier d'avenir non seulement en raison de la prochaine évolution de la législation Européenne mais aussi du fait d’ une probable demande de la part des individus soucieux de protéger leur vie privée et leurs libertés face aux évolutions technologiques (BYOD, Objets Connectés, Big Data, Réseaux Sociaux, etc.).
  • PYL : Divers facteurs entrent en jeu, et en particulier l’entreprise où on évolue. Je sais que je n’échangerais pas mon poste car c’est pour moi l’occasion d’intervenir dans tous les domaines d’activité d’une entreprise multinationale. Et puis,  la protection des données personnelle et de la vie privée est en plein essor dans le monde entier, c’est donc un poste d’avenir.
------------------
[1] http://ec.europa.eu/justice/data-protection/index_fr.htm
[2] Par Kenneth Neil Cukier et Viktor Mayer-Schoenberger
[3] Loi informatique et libertés du 06/01/1978 modifiée le 6 août 2004
[4] Pays où la désignation d’un délégué à la protection des données est facultative : Pays bas, Slovénie, Estonie, Lituanie, Lettonie, Suède, Norvège
[5] http://www.cnil.fr/linstitution/missions/informer-conseiller/correspondants/questions-reponses/
[6] Allemagne, Suisse, Hongrie, Slovaquie, Chypre, Grèce
[7] Isabelle Falques-Pierrotin est présidente de la CNIL et du G29
[8] Les BCR ou Binding Corporate Rules sont des règles internes de groupe permettant de transférer les données personnelles entre entités situées dans un pays dont la protection des données n’a pas été reconnue comme disposant d’un niveau de protection adéquat par la commission européenne.
[9] Association française des correspondants à la protection des données http://www.afcdp.net/