Entre le RGPD, le Data Governance Act (DGA), le Data Act... Les DPO doivent s'adapter et rapidement. Ces différentes réglementations sont-elles un atout ou une contrainte ? Quel impact pour les principaux concernés ? A quelles autres difficultés sont-ils confrontés ? Telles sont les questions posées lors d'une table ronde du Printemps des DPO, organisé le 27 juin par InfoproDigital.
«Il n'est déjà pas facile de se mettre d'accord à 27...»
« On est tous dans le même bateau », relativise Alain Herrmann, commissaire à la Commission nationale pour la protection des données (CNPD) du Luxembourg qu’il a rejointe en 2012. « Au Luxembourg aussi », la superposition de textes rend l'application des règles très « floue ».
Outre cette inflation normative, les DPO se voient confrontés à un « autre élément challengeant » selon lui : la diversité de régulateurs. « Ce ne sont pas les mêmes autorités qui superviseront le DGA et les autres textes. Il n'est déjà pas facile de se mettre d'accord à 27 avec une seule autorité, alors plusieurs... ».
Un avis partagé par Nathalie Laneret, vice-présidente des affaires publiques et gouvernementales de Critéo, fournisseur indépendant de technologies publicitaires. « On voit poindre un foisonnement d'autorités et je ne vois pas comment cela peut être vecteur de confiance pour les professionnels de la protection des données ». A titre d'exemple, soulève-t-elle, « c'est l’Arcep qui sera chargée de la mise en œuvre du DGA en France, et non la CNIL ».
Un rendez-vous manqué avec le RGPD
Autre difficulté évoquée par Nathalie Laneret, le manque d’outils permettant de guider les DPO dans l'application du RGPD. « Il est nécessaire d'accompagner les DPO. Il y a un vrai rendez-vous manqué dans le RGPD. Cinq ans après, nous n'avons pas utilisé les outils prévus par le règlement tels que les codes de conduite », se désole-t-elle. A ce jour, seulement deux codes de conduite ont été publiés « alors qu'ils étaient destinés à être le moyen de spécifier, secteur par secteur, comment les dispositions du RGPD s'appliquent ».
Et au Royaume-Uni ? Nicholas Cullen, avocat associé au sein du Pôle protection des données du cabinet ALTIJ et formateur de DPO, nous présente de quelle manière est vécue la nouvelle réforme en matière de protection des données et les bouleversements attendus par les entreprises. « Dans les débats parlementaires, la réforme est présentée comme une révolution. Mais nous gardons en grande partie le socle du RGPD et nous allons aussi conserver le vocable. Le gouvernement veut alléger les démarches administratives, surtout pour les PME. On va bientôt supprimer le DPO, qui sera remplacé par le Senior Responsible Individual : une fonction très similaire au DPO. Ce qui change, c'est qu'il devra être membre de l’organisation. Il devra appartenir au board par exemple. Tenue du registre des traitements, analyses d'impact : « la compliance sera allégée. Il y a une véritable réflexion qui est menée pour améliorer le RGPD », estime Nicholas Cullen.
Le rôle du DPO va prendre de l’ampleur
Alors finalement comment aider les professionnels ? Pour Alain Herrmann, le soutien doit venir des autorités de protection des données qui « ont un rôle à jouer. Leur rôle d’accompagnement doit être développé ».
« Créer un réseau des autorités de protection des données et instaurer des obligations de consultation entre elles » pourrait être une solution, suggère Nathalie Laneret.
Pour Alain Benssoussan, ce sera peut-être pour le DPO une occasion de s’émanciper dans son rôle : « c’est celui qui va incarner la confiance et la responsabilité ». « Le rôle du DPO va prendre de l’ampleur. Mais n’oublions pas son rôle premier qui est de conseiller son organisation. Attention à ne pas tout faire reposer sur lui », acquièsce Alain Herrmann qui, de son côté, attend plus de jurisprudence en matière de protection des données afin de « savoir comment se positionner ».