En créant une charte de déontologie, l’Association française des correspondants à la production des données à caractère personnel (AFCDP) conforte les moyens du DPO (data protection officer) et clarifie son cadre d’activité, en particulier dans le cadre de l’application du Règlement européen sur la protection des données.
Trop loin du réel ? Perpétuellement plongés dans les enjeux stratégiques relatifs à la maîtrise des données personnelles, les concepteurs européens du RGPD (Règlement général sur la protection des données) ont laissé de côté les conditions concrètes d’application de leur règlement. Ils ont certes doté le DPO d’obligations, de devoirs et de responsabilités importants. Mais dans la réalité, sur qui et sur quoi pourra-t-il compter pour mener à bien sa mission ? La question n’a rien de nouveau pour l’Association française des correspondants à la production des données à caractère personnel (AFCDP) qui rassemble 3 215 correspondants informatiques et libertés (CIL) créés par la loi du 6 janvier 1978. Ses membres y réfléchissent depuis quasiment une décennie, explique Patrick Blum, vice-président de l’AFCDP et CIL de l’Essec : « Nous souhaitions avoir un outil pour garantir le comportement et l’éthique de notre métier. »
Dès 2012, lorsque la Commission européenne a commencé à examiner le projet de texte qui donnera naissance au RGPD, l’AFCDP a entamé sa réflexion. Elle a notamment passé en revue les nombreuses chartes déjà existantes. Les travaux, menés au sein d’une commission, ont abouti à un texte qui a été soumis à la Cnil avant d’être formellement approuvé et officialisé par le conseil d’administration de l’AFCDP fin avril.
Par différentes voies, cette charte vient en effet soutenir le DPO dans ses missions. Elle rappelle l’indépendance de cette fonction ainsi que les normes éthiques de son exercice. Alors que le RGPD ne prévoit rien de tel, ce document engage aussi le (la) responsable de traitement. L’AFCDP a en effet prévu qu’il (elle) appose sa signature à côté de celle du DPO. Un acte purement formel ? Pas pour l’AFCDP, soutient Patrick Blum : « Si nous avons choisi de faire aussi signer le responsable de traitement, c’est parce qu’il fournit les ressources dont le DPO a besoin pour mener sa mission. Le faire signer, c’est aussi l’engager. Une double signature sécurise la mission du DPO. »
Au demeurant, cette sécurisation sera double puisque l’AFCDP va tenir un registre des signataires et le divulguer. « C’est un engagement public qui doit renforcer la détermination du DPO et du responsable des traitements à respecter le RGPD et les obligations supplémentaires prévues par la charte », précise Patrick Blum. Il invite d’ailleurs les entreprises à considérer l’intérêt qu’elles peuvent retirer d’une telle démarche : « Elles améliorent leur image et celle de leurs dirigeants. C’est un argument de confiance vis-à-vis des clients. »
La charte précise que la gestion du registre des traitements doit être attribuée au DPO. Elle dissipe ainsi une incertitude, explique Patrick Blum : « Le RGPD indique que le registre des traitements est du ressort du responsable des traitements, or dans la réalité le dirigeant de l’entreprise va déléguer cette mission. Autant qu’elle soit clairement attribuée au DPO, car autrement il pourrait plus difficilement remplir sa tâche. » Toujours par souci de clarté, la charte stipule aussi les conditions qui permettront de désigner un DPO externe, solution la plus courante pour les entreprises de taille réduite. « Son activité devra être centrée principalement sur la protection des données », détaille Patrick Blum. Une mesure qui épargnera sans doute bien des déboires aux petites entreprises en confiant la gestion de leurs données à un professionnel compétent.
Spécialiste des services de paiement en ligne, Lemonway est la première entreprise à avoir signé la charte du DPO de l’AFCDP. « Elle établit un fondement éminemment éthique au rôle du DPO, explique Khuê-Hanh Dang Tran, sa directrice aux affaires juridiques et réglementaires, et futur DPO à partir du 25 mai. Dans le cadre de la gouvernance et des relations entre le DPO et les dirigeants, c’est très important. Quels liens les instances de gouvernance peuvent-ils établir avec une personne qui occupe une fonction sur laquelle ils n’ont pas de prise classique puisque le DPO est indépendant dans sa mission de conseil et surtout dans celle de contrôle jusqu’à être en mesure d’alerter le régulateur ? La réponse n’est pas évidente. La charte de déontologie construit un pont de confiance entre le DPO et les instances de gouvernance de l’entreprise. Elle permet aussi d’offrir un cadre d’échange avec tous les acteurs participants à la protection de la donnée. »
