Les DPO jouent la partition RGPD en réseaux

01/07/2021, publié par Amélie Saïdi
conformité RGPD

Quand le RGPD (le règlement européen sur la protection des données) est entré en vigueur, c’est VOUS qui avez été désigné DPO, délégué à la protection des données (Data Protection Officer en anglais). On vous a expliqué (rapidement !) que votre mission principale consistait à vous assurer que l’organisation à laquelle vous appartenez respectait bien le règlement européen sur la protection des données. Au début, vous vous êtes dit, le RGPD, ça va être facile ! La CNIL avait mis à votre disposition un ensemble de documents et d’aides en ligne pour vous accompagner dans votre nouvelle mission. Vous auriez dû vous méfier quand la CNIL, toujours elle, vous qualifiait dans ses documents de « chef d’orchestre de la conformité en matière de protection des données ». Je ne sais pas vous, mais moi c’est à ce moment-là que je me suis écriée, « Chef d’orchestre ! ça veut dire que je vais me trouver toute seule face aux musiciens pour déchiffrer les partitions de la réglementation ! »

Mais non, en vérité collègues DPO, nous ne sommes pas seuls ! Et heureusement, car le RGPD c’est un peu comme la musique (la CNIL avait raison), c’est aussi une question d’interprétation. Les situations que l’on rencontre au quotidien en tant que DPO sont diverses, chaque événement soulève de nouvelles interrogations et toutes les réponses ne se retrouvent pas de façon évidente dans les textes à notre disposition. La réalité ne ressemble pas toujours à la théorie. On fait face à des cas concrets dont on ne trouve pas de traduction dans les textes juridiques. Mais dans la réalité, quand on est face à des questions, il faut trouver des réponses !

Comment j’ai croisé la route de l’Association Française des Correspondants à la protection des Données à caractère Personnel

Et bien figurez-vous, des difficultés qui nous semblaient inédites, voire exceptionnelles, d’autres les ont rencontrées avant nous. Pour ce qui me concerne, alors que j’étais désespérément à la recherche d’une réponse au sujet d’une problématique concernant « les comptes de services », j’ai croisé la route de l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP). Heureuse rencontre ! 

L’AFCDP a été créé en 2004 (sur l’échelle de temps du RGPD, c’est la préhistoire !). Elle regroupe les personnes intéressées par la protection des données à caractère personnel. Ça tombe bien, c’est mon cas. Parmi les adhérents on compte des anciens CIL, vous vous souvenez, les Correspondants Informatique et Liberté (de vaillants précurseurs nés en même temps que l’AFCDP), des DPO évidemment, des juristes, des avocats, des professionnels du marketing et du e-commerce, des experts en sécurité, des universitaires, des étudiants… et moi ! 

L’AFCDP permet ainsi de côtoyer des profils très différents prêts à partager leurs expertises, leurs bonnes pratiques, leurs expériences… L’organisme propose des espaces collaboratifs en ligne où chacun peut poser ses questions (on peut même poser sa question de façon totalement anonyme, RGPD oblige !) et proposer des réponses. L’association met également à disposition un jobboard ouvert à tous, adhérents ou non.

Un organisme de référence pour les professionnels de la protection des données

L’AFCDP est aujourd’hui un organisme de référence pour les professionnels de la protection des données, y compris ceux de la CNIL qui consultent régulièrement l’association et s’appuient au besoin sur ses compétences. Elle revendique plus de 5000 membres. Elle est active également auprès des instances européennes afin de promouvoir une politique de protection des données personnelles dans les entreprises qui soit « opérationnelle, pragmatique, équilibrée et efficace ».

On recense d’autres organisations plus récentes comme l’UDPO (Union des Data Protection Officers) ou l’ADPO (Association des Data Protection Officers). Les cabinets d’avocats ou les cabinets conseils spécialisés peuvent également être des interlocuteurs utiles en matière d’information sur la protection des données, notamment pour les entreprises qui n’ont pas de DPO à plein temps.

La protection des données est une matière réglementaire en mouvement et un sujet encore jeune dans les entreprises. S’inscrire dans un réseau d’échange de connaissances et d’expertise est presque une nécessité aujourd’hui pour apporter au quotidien à ses interlocuteurs internes, mais également à ses partenaires externes, une expertise validée et actualisée.