Les responsables de la protection des données toujours sous pression après 5 ans de RGPD

Les responsables de la protection des données personnelles en entreprise, les DPO (Data Protection Officer) sont plus que jamais sous pression à l’issue des 5 ans du RGPD. C’est ce que montre une enquête de l’AFCDP (L’Association Française des Correspondants à la protection des Données à caractère Personnel).  

Les connexions avec les Etats-Unis toujours dans le flou

Tout d’abord, les DPO s’interrogent sur le futur de l’échange de données avec les Etats-Unis qui demeure une source d’inquiétude. Pour eux, l’invalidation du « Privacy Shield » est une source majeure d’insécurité juridique depuis l’été 2020. « Soit on accepte de ne pas être au même niveau technologique que ses concurrents, soit on prend un risque juridique » résume l’AFCDP.

L’association évoque ainsi le fait de devoir se priver de certains logiciels américains ou plateformes car leur fonctionnement n’est pas conforme aux réglementations européennes. La nouvelle solution proposée avec le « Data Privacy Framework » (DPF) sera-t-elle la bonne ? « Cela reste à confirmer, car les écarts de perception de chaque côté de l’Atlantique fragilisent tout nouvel accord » pointe l’AFCDP.

Dans ce cadre, l’exemple de Google Analytics marque les DPO. C’est une illustration concrète de la situation de monopole de certains acteurs, qui peut engendrer des problématiques d’envergure pour les professionnels. En effet, l’outil Google Analytics est passé d’un suivi de l’audience des sites à un moteur de la publicité des sites Web, pour les acteurs du e-commerce, les médias, et bien d’autres.

Le changement d’outil devient un enjeu de taille

Dès lors, pour les responsables marketing, se passer de Google Analytics représente une perte de performance, donc un enjeu de taille. « Cet exemple illustre également les difficultés de prise de décision des autorités face à ces acteurs en situation de monopole » relève l’AFCDP.

Ceci dit, la situation est encore instable avec l’arrivée du  « Data Privacy Framework  (DPF) ». « L’adoption du DPF a rendu caduques les décisions d’invalidation de Google Analytics, mais avec les risques de nouveau revirement juridique, de nombreux DPO recommandent de rester prudent et de préférer des solutions alternatives » analyse l’association. On relève d’ailleurs que la Cnil a publié une longue liste de plateformes de mesure alternatives à Google Analytics et conformes au RGPD. La solution de Matomo se distingue.

Autre cas, la recommandation de la Cnil sur les cookies préoccupe plus que jamais les DPO par sa complexité dont on comprend qu’elle les décourage. « Les recommandations de la Cnil sur les cookies sont intellectuellement très pertinentes, mais leur mise en œuvre demande un investissement énorme pour en comprendre les attentes et comment les mettre en application » réagit l’AFCDP.

Une complexité réglementaire qui devient pénible

L’association fait part de sa lassitude et demande que l’on simplifie les contraintes. « Peut-être ces recommandations présentent-elles trop de subtilités par rapport à la capacité d’adaptation des entreprises ? De plus se pose la question de savoir s’il s’agit d’une technologie pérenne. Dans ce cas, est-ce intéressant de règlementer ? » suggère l’AFCDP.

Dans le même temps, la gestion des données personnelles s’est encore compliquée à la suite de la crise du Covid et de ses conséquences en particulier sur les modes de travail. Les DPO doivent prendre en charge de nouveaux enjeux. « Aujourd’hui, l’avènement du travail hybride demande de trouver de nouveaux équilibres et de nouvelles règles pour gérer cette situation ambivalente » souligne l’AFCDP.

La crise a eu des conséquences importantes sur la protection des données personnelles. Les échanges laissent des traces plus importantes qu’une réunion physique où les personnes présentes pouvaient être contrôlées. « La crise sanitaire a démontré que nous étions désormais capables et assez mûrs pour déplacer les informations et les données et non plus les personnes » se félicite toutefois l’AFCDP. L’association souligne que les DPO ont dû travailler dans l’urgence pour de nouvelles solutions (cyber assurance des domiciles, charte de télétravail, sécurisation des outils BYOD,…).

Des sanctions qui s’alourdissent

Enfin, les DPO veulent se rassurer face à l’augmentation de la sévérité des sanctions de la Cnil, et en particulier le montant des amendes. D’un côté, ils soulignent que la sanction prend en compte le poids économique de l’entreprise sanctionnée. L’amende de 1 milliard d’euros de sanction contre Meta en est une illustration.

De l’autre, les DPO y voient la reconnaissance de la valeur des données personnelles et donc l’importance de leur travail dans l’entreprise. « Nos vies sont marquées par la génération de données à caractère personnel. C’est donc un équitable ajustement face à des enjeux de plus en plus conséquents pour les particuliers. Dans l’exemple de Meta, divisée par le nombre de mois et le nombre de personnes concernées, la sanction ne semble finalement pas disproportionnée » veut croire l’AFCDP.

L’AFCDP, créée en 2004, regroupe 6 500 professionnels de la conformité au RGPD et à la Loi Informatique et Libertés – dont les Délégués à la Protection des Données (DPD ou DPO, pour Data Protection Officer). L’AFCDP rassemble également les professionnels et toutes les personnes intéressées par la protection des données à caractère personnel. Les adhérents sont des DPD/DPO, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.