Les responsables de la protection des données personnelles en entreprise, les DPO (Data Protection Officer) sont plus que jamais sous pression à l’issue des 5 ans du RGPD. C’est ce que montre une enquête de l’AFCDP (L’Association Française des Correspondants à la protection des Données à caractère Personnel).
Les connexions avec les Etats-Unis toujours dans le flou
Tout d’abord, les DPO s’interrogent sur le futur de l’échange de données avec les Etats-Unis qui demeure une source d’inquiétude. Pour eux, l’invalidation du « Privacy Shield » est une source majeure d’insécurité juridique depuis l’été 2020. « Soit on accepte de ne pas être au même niveau technologique que ses concurrents, soit on prend un risque juridique » résume l’AFCDP.
La nouvelle solution proposée avec le Data Privacy Framework sera-t-elle la bonne ?
Dans ce cadre, l’exemple de Google Analytics marque les DPO. C’est une illustration concrète de la situation de monopole de certains acteurs, qui peut engendrer des problématiques d’envergure pour les professionnels. En effet, l’outil Google Analytics est passé d’un suivi de l’audience des sites à un moteur de la publicité des sites Web, pour les acteurs du e-commerce, les médias, et bien d’autres.
Le changement d’outil devient un enjeu de taille
Dès lors, pour les responsables marketing, se passer de Google Analytics représente une perte de performance, donc un enjeu de taille. « Cet exemple illustre également les difficultés de prise de décision des autorités face à ces acteurs en situation de monopole » relève l’AFCDP.
Face aux risques de revirement juridique, de nombreux DPO recommandent de rester prudent
Autre cas, la recommandation de la Cnil sur les cookies préoccupe plus que jamais les DPO par sa complexité dont on comprend qu’elle les décourage. « Les recommandations de la Cnil sur les cookies sont intellectuellement très pertinentes, mais leur mise en œuvre demande un investissement énorme pour en comprendre les attentes et comment les mettre en application » réagit l’AFCDP.
Une complexité réglementaire qui devient pénible
L’association fait part de sa lassitude et demande que l’on simplifie les contraintes. « Peut-être ces recommandations présentent-elles trop de subtilités par rapport à la capacité d’adaptation des entreprises ? De plus se pose la question de savoir s’il s’agit d’une technologie pérenne. Dans ce cas, est-ce intéressant de règlementer ? » suggère l’AFCDP.
L’avènement du travail hybride demande de trouver de nouveaux équilibres et de nouvelles règles
La crise a eu des conséquences importantes sur la protection des données personnelles. Les échanges laissent des traces plus importantes qu’une réunion physique où les personnes présentes pouvaient être contrôlées. « La crise sanitaire a démontré que nous étions désormais capables et assez mûrs pour déplacer les informations et les données et non plus les personnes » se félicite toutefois l’AFCDP. L’association souligne que les DPO ont dû travailler dans l’urgence pour de nouvelles solutions (cyber assurance des domiciles, charte de télétravail, sécurisation des outils BYOD,…).
Des sanctions qui s’alourdissent
Enfin, les DPO veulent se rassurer face à l’augmentation de la sévérité des sanctions de la Cnil, et en particulier le montant des amendes. D’un côté, ils soulignent que la sanction prend en compte le poids économique de l’entreprise sanctionnée. L’amende de 1 milliard d’euros de sanction contre Meta en est une illustration.
La sanction de 1 milliard d’euros de Meta ne semble finalement pas disproportionnée
L’AFCDP, créée en 2004, regroupe 6 500 professionnels de la conformité au RGPD et à la Loi Informatique et Libertés – dont les Délégués à la Protection des Données (DPD ou DPO, pour Data Protection Officer). L’AFCDP rassemble également les professionnels et toutes les personnes intéressées par la protection des données à caractère personnel. Les adhérents sont des DPD/DPO, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.