La 15ème Université DPO organisée par l’AFCDP n’a pas échappé aux contraintes sanitaires : c’est sous une forme 100% dématérialisée qu’elle s’est tenue le 26 janvier 2021.
L’occasion pour les organisateurs de rappeler que les échanges numériques qui se sont accrus - le mot est faible - en 2020 du fait de la crise ont nécessairement augmenté les échanges de données personnelles et par conséquent l’importance des enjeux liés à leur protection.
Le Village de la Justice revient ici sur deux interventions marquantes entendues au cours de cette matinée animée Philippe Salaün et Paul-Olivier Gibert, respectivement Secrétaire général et Président de l’AFCDP.

Rétrospective et perspectives dessinées par la CNIL.

Même si l’intervention de Louis Dutheillet de Lamothe, Secrétaire général de la CNIL, a clôturé la matinée d’ouverture de l’université, commençons par là.

Il faut d’abord retenir quelques chiffres pour cette année 2020 : 10 millions de connexions sur le site de la CNIL, 20 000 requêtes qui lui ont été soumises, et 24 000 DPO déclarés.

Côté rétrospective, le secrétaire général a noté trois points principaux :

 L’épidémie et le rôle de la CNIL dans ce contexte : l’autorité a été fortement associée par le Gouvernement dans la prise de décisions. C’est un travail "difficile" car il faut statuer sur des textes sensibles dans un délai restreint.

Une question s’est posée : fallait-il écarter pour un temps le RGPD ? Au contraire, selon Louis Dutheillet de Lamothe : il fallait que les outils soient mis en avant. C’est la vision portée par la CNIL.

 L’arrêt Schrems 2 [1] rendu par la Cour de Justice de l’Union Européenne le 16 juillet 2020 et son impact retentissant sur les transferts des données notamment vers les Etats-Unis.

 Les travaux de la CNIL sur les cookies, et notamment sur les cookies wall.

Et dresse des prospectives en miroir :

 La problématique des cookies qui va continuer à occuper l’année à venir.

 L’hébergement souverain, conséquences de la jurisprudence Schrems 2, et les difficultés que cela pose aux responsables de traitement.
 La cybersécurité, un aspect méconnu mais pourtant fondamental du RGPD et de ses sanctions.

 Enfin, un point d’alerte fort pour la CNIL : mieux traiter le flot de demandes et raccourcir les délais (6 mois maximum).

Prenons de la hauteur et parlons éthique et résilience.

Les propos de Guillaume Desgens-Pasanau, Magistrat, professeur des universités associé au Conservatoire national des arts et métiers (CNAM), et ancien membre de la CNIL ont ouvert cette université, en la plaçant sous le signe des libertés fondamentales et d’un terme que l’on a pas fini d’entendre en 2021 : "l’éthique".

Le magistrat rappelle que la réglementation autour des données personnelles est à la croisée des chemins, et qu’elle ne l’a jamais été autant que cette année :
 Quels équilibres trouvés entre la protection des données personnelles et d’autres impératifs, en l’occurrence notamment celui de la santé ?
 Jusqu’où est-on prêt à détricoter cette réglementation (fruit de 40 ans de construction) et celle d’autres libertés fondamentales (celles de se réunir, d’entreprendre etc.) ?

Alexandre Besnier, chargé de mission direction prospective à l’Afpa qui a présenté lors de la matinée l’étude AFPA/AFCDP/Ministère du travail (dont vous trouverez notre synthèse actualisée ici) est sur la même longueur d’ondes : "La crise est un accélérateur du rôle des DPO avec des enjeux éthiques et numériques. L’usage des données relève maintenant du positionnement des entreprises et non juste de l’application d’une réglementation."

Autre question révélée par le contexte de la crise : quel est le rapport à nos « techs » ? Il n’y a "pas d’informatique sans éthique, même en période de crise."
Selon Guillaume Desgens-Pasanau, il existe des critères qui définissent les lignes rouges à ne pas franchir :
 la pertinence : la technologie nous apporte-t-elle quelque chose au regard du coût pour les libertés fondamentales ?
 la fiabilité : l’outil fonctionne-t-il ?
 le mésusage : celui qui permet un détournement de la finalité des données.

Pour en revenir aux DPO, Guillaume Desgens-Pasanau plaide pour une formation des professionnels pour que le DPO puisse être le plus efficace possible, sans tomber pour autant dans un "excès de formalisme" : le DPO ne doit pas être vécu comme un empêcheur de tourner en rond.

Autre terme clef de la période 2020/2021 : la résilience, et en l’occurrence celle du RGPD, qui s’exprimera selon le magistrat à travers les DPO, en première ligne, mais aussi à travers son régulateur : la CNIL, attendue sur :
 son accompagnement (notamment par la construction de référentiel) ;
 mais surtout les sanctions qu’elle sera amenée à prononcer. Le magistrat l’affirme : pas de sanction = pas de régulation. Or actuellement les chiffres des sanctions sont toujours les mêmes qu’avant le RGPD.

Il faudra cependant, pour être résilient, accepter les limites de la réglementation : le Droit n’est pas la solution à tout !
Il faut aussi de « l’éducation » au numérique, notamment pour les plus jeunes qui ne comprennent pas les enjeux.
Autre piste, celle du « privacy by design » : les techs elles-même peuvent être une solution en tant que telles.

Nathalie Hantz Rédaction du Village de la Justice