1. -------------------Association Française 1 rue de Stockholm - 75008 Paris - SIRET 503 314 353 00031 - APE 9499Z
des Correspondants à la protection
des Données à caractère Personnel www.afcdp.net
____________________________________________________________________
DONNÉES PERSONNELLES : DEUX ANS C’EST LONG…C’EST COURT
____________________________________________________________________
Deux ans jour pour jour avant que les nouvelles dispositions du
règlement européen sur les données personnelles s’imposent,
l’AFCDP (Association Française des Correspondants à la protection
des Données Personnelles) enrichit son site Web d’un compte à
rebours, tandis que ses différents groupes de réflexion accompagnent
les CIL désignés et les futurs Délégués à la protection des données (ou
DPO, pour Data Protection Officer) dans la préparation aux nouvelles
règles du jeu.
Le règlement européen sur les données personnelles ayant été publié au
journal officiel européen le 4 mai 2016, c’est donc à partir du 25 mai 2018
que les responsables de traitement devront respecter les nouvelles règles…
et en craindre les nouvelles sanctions, qui pourront aller jusqu’à 4 % du
chiffre d’affaire mondial pour les entreprises et jusqu’à vingt millions d’euros
pour les personnes publiques.
Rappelons que, jusqu’à cette date, les règles actuelles de notre loi
Informatique et Libertés continuent à s’appliquer, règles auxquelles
pourraient s’ajouter quelques dispositions issues du projet de loi pour une
République numérique, votée par le Sénat le 3 mai et qui devrait être
prochainement examinée en Commission Mixte Paritaire.
Si les dispositions du règlement modernisent les principes de protection des
données personnelles et permettent de prendre en compte plus de vingt ans
d’évolutions technologiques, l’angélisme n’est pas de mise. La mise en
conformité avec le nouveau cadre nécessite de lourds efforts et des
investissements indispensables pour adapter les outils, les procédures… et
surtout les habitudes.
Communiqué de presse
Mardi 24 mai 2016

2. www.afcdp.net
Pour les organismes dépourvus de Correspondant Informatique et Libertés,
la priorité est naturellement d’en désigner un sans tarder, qui sera confirmé
courant 2018 en tant que Délégué à la protection des données selon des
modalités restant à préciser, comme l’avait indiqué Edouard Geffray,
Secrétaire général de la CNIL, lors de la grande conférence organisée fin
janvier par l’AFCDP : « Tous les responsables de traitement ont intérêt à
désigner un CIL dès aujourd’hui, et ce CIL a vocation à être DPO demain ».
Recourir à un CIL est aujourd'hui le meilleur moyen pour une entreprise ou
une administration de se préparer au règlement européen sur la protection
des données personnelles à venir. Le CIL est en effet le « chef d'orchestre »
interne de la conformité à la loi informatique et libertés : entreprises et
administrations ont donc intérêt à s’en doter dès maintenant pour monter en
puissance en vue du règlement européen, et bénéficier ainsi de
l'accompagnement de la CNIL et de l’AFCDP.
Les deux ans qui viennent pourront être mis à profit par les CIL en poste
pour compléter leur formation : « Si aucun diplôme spécifique n’est exigé, le
règlement renforce le besoin de compléter ses connaissances. Le temps est
passé où il était possible d’être désigné sans avoir suivi un minimum de
formation. Le débat se déplace maintenant sur la question du niveau de
cette formation. Avec un risque de sanction réévalué, un responsable de
traitement ayant désigné un délégué à la protection des données a le droit
d’être exigeant quant aux capacités de ce dernier de réduire réellement son
exposition aux risques » indique Patrick Blum, CIL de l’Essec et Vice-
président de l’AFCDP en charge de la Commission Métier.
Pour Alexandre Eloy, CIL de GMF, la priorité est avant tout axée sur la
nécessaire maîtrise des grands principes de... la Loi Informatique et
Libertés, « dont l'approche par de nombreux organismes est encore
perfectible ». Cette notion de retard à combler se retrouve dans les conseils
formulés par Michel Bazet, CIL d'AG2R La Mondiale, qui recommande de
prendre les choses sous l’angle de l’analyse des risques : « Il faut procéder
à une revue des traitements et processus sous l'angle des enjeux et
menaces pour la vie privée, ce qui donnera le fil conducteur des actions de
préparation », et ceux de Philippe Salaün, CIL de CNP Assurances, « La
difficulté réside dans l'évaluation du risque brut qui est par essence
subjective. Insérer le Privacy Assessment dans les processus est l’une des
priorités ». Leila Hader, CIL de la Mutuelle UMC, reprend à son compte
l'identification des traitements présentant un risque élevé pour la vie privée,
sociale et professionnelle des personnes concernées, elle propose
également de commencer à revoir la définition des durées de conservation,
« qui devront être ajoutées dans les mentions d’information afin de répondre
à l'obligation de transparence ».
Cultiver les synergies, tel est le conseil de Laurent Cellier, CIL de
Deveryware, « La personne en charge du pilotage de la conformité en
matière de protection des données personnelles devra collaborer encore
plus étroitement qu’aujourd’hui avec les métiers connexes touchant à la
sécurité du système d’information, à la qualité, à la gestion des risques, à
l’archivage et à la gestion des actifs immatériels ».
Pour Bruno Rasle, Délégué général de l’AFCDP, les CIL qui veulent
préparer au mieux leur organisme au règlement doivent veiller à ce que les
prochains budgets intègrent des lignes pour ce faire : « Pour éviter d’avoir à
communiquer certaines violations de données aux personnes concernées, il
peut être proposé de rendre techniquement incompréhensibles les
informations – le chiffrement étant l’une des approches qui le permet. Les

3. www.afcdp.net
solutions opérationnelles à la mi-2018 auront été mises en œuvre début
2018, testées en 2017 sur le budget arrêté à l’automne 2016… c'est-à-dire
demain ».
L'une des (multiples) évolutions majeures apportées par le règlement
concerne le consentement. Pour les traitements fondés sur cette base, le
nouveau cadre sonne le glas de leur version « passive » (le silence de la
personne concernée, informée, vaut accord). Marie Noëlle Séhabiague, CIL
de la Caisse nationale des allocations familiales, en fait l'un de ses chantiers
principaux : « Ce sujet à traiter au plus tôt, pour éviter d'avoir à requalifier
éventuellement des consentements. Autant prendre les bonnes habitudes
dès aujourd'hui. Dans notre cas, nous devrons gérer le consentement pour
chaque personne qui compose le foyer - et pas uniquement pour l'allocataire
responsable du dossier - et distinguer les consentements liés à une
demande de droit et ceux correspondants à des finalités non couvertes par
la législation en matière sociale ».
Pour sa part, Pascale Gelly, Vice-présidente de l’AFCDP en charge de
l’international et DPO d’ADP pour la France, conseille de mettre parmi ses
priorités l’injection, dans les contrats en cours de négociation, des clauses
tenant compte des nouveautés introduites par le règlement : « Ces contrats
seront en vigueur en 2018. Il est donc primordial d’y intégrer une clause qui
précise les obligations du sous-traitant concernant les notifications des
éventuelles violations de données ». Ces contrats doivent également tenir
compte de la nouvelle répartition des responsabilités entre clients
traitements et sous-traitants, « en cas de non-conformité, la CNIL va pouvoir
« répartir » ses sanctions financières entre eux, alors qu’aujourd’hui la
responsabilité, au sens de la loi Informatique et Libertés, est focalisée sur le
seul responsable de traitement, même si la faute est imputable à son
prestataire ».
Cintya Marneau, responsable de la conformité de la mutuelle Carac, met en
exergue le principe nouveau d’Accountability (traduit par le terme
« responsabilité » dans la version en français du règlement européen) :
« Désormais les organismes devront être capables de rendre compte à tout
instant, de façon formalisée, aux autorité, du niveau de conformité de leurs
traitements et de la maîtrise des risques qu'ils auront préalablement
identifiés ».
Pour Paul-Olivier Gibert, Président de l’AFCDP, le premier conseil est de
positiver, en cherchant l’opportunité qui se cache derrière chaque nouvelle
obligation afin de créer de la valeur : « Dans le cadre de la mise en
application du droit à la portabilité, il faudra se préparer à transmettre les
données d’un client qui nous quitte pour l’un de nos compétiteurs… mais
aussi à recevoir les données d’un nouveau client qui nous rejoint. On peut
avoir la même philosophie concernant le droit à l'oubli et l’obligation de
notifier les violations de données, qui nous donnent l’opportunité de mettre à
jour les bases de données et de purger ce qui doit l’être ». Cette approche
est partagée par Jean-Christophe Frachet, CIL du Conseil départemental de
l'Essonne, qui recommande en priorité de « convaincre les décideurs de
l'opportunité, en termes d'image de marque de l'organisation, de mettre en
avant et de valoriser la démarche de protection des données à caractère
personnel ».
Les récentes décennies ont vu des changements phénoménaux dans nos
usages du numérique, ce qui explique la richesse, mais aussi la complexité,

4. www.afcdp.net
du nouveau règlement européen. Compte-tenu de l’ampleur des travaux
nécessaires pour s’y préparer, deux ans ne seront pas de trop.
Cette préparation, si elle est conséquente, ne sera pas nécessairement
solitaire. En plus des documents officiels appelés à approfondir et clarifier
certains détails du texte, les CIL pourront s’appuyer sur leur travail mutuel
réalisé au sein de l’AFCDP. Outre le groupe « Se préparer au règlement
européen », qui s’était donné comme priorité la façon dont les nouvelles
contraintes peuvent être présentées auprès des directions générales, un
groupe « Notification des violations de données » se prépare à formaliser
une F.A.Q. très opérationnelle et une procédure type de notification à la
CNIL et d’information des personnes concernées en cas d’incident de
sécurité, tandis que le groupe « Métier » étudie les évolutions qui relie
l’actuel CIL au futur Délégué à la protection des données.
Ce travail bénéficiera en outre du réseau CEDPO (The Confederation of
European Data Protection Organisations, co-fondée par l’AFCDP) qui
permet aux CIL français de profiter des expériences et des bonnes pratiques
de leurs confrères allemands, espagnols, néerlandais, polonais, irlandais et
autrichiens. Enfin, compte tenu du changement d’échelle et de logique qui
s’annonce en matière de protection des données à caractère personnel, il
est crucial que les organismes qui n’ont pas déjà désigné un CIL auprès de
la CNIL le fassent, pour être prêt en 2018 à faire face aux nouvelles
exigences.
Pour tout complément : Paul-Olivier Gibert – president@afcdp.net
Contact Presse : Bruno Rasle – delegue.general@afcdp.net – Tel. Mob.
+33(0)6 1234 0884
A propos de l’AFCDP - www.afcdp.net
L’AFCDP a été créée dès 2004, dans le contexte de la modification de la Loi Informatique &
Libertés qui a officialisé un nouveau métier, celui de « Correspondant à la protection des
données à caractère personnel » (ou CIL, pour Correspondant Informatique & Libertés).
L’AFCDP, qui regroupe plus de 1.800 personnes et plus de 650 membres personnes
morales, est l’association représentative des CIL, des délégués à la protection des données
et des DPO (Data Privacy Officier/Data Protection Officer), mais elle rassemble largement.
Au-delà des professionnels de la protection des données et des Correspondants désignés
auprès de la CNIL, elle regroupe toutes les personnes intéressées par la protection des
données à caractère personnel. La richesse de l’association réside – entre autres – dans la
diversité des profils des adhérents : Correspondants Informatique & Libertés, délégués à la
protection des données, juristes et avocats, spécialistes des ressources humaines,
informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité,
qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et
étudiants.
Quelques membres de l’AFCDP : 3 Suisses, Accor, Action contre la Faim, Adecco, AG2R La
Mondiale, Airbus Group, American Hospital of Paris, AXA, BNP Paribas Personal Finance,
BP France, Caisse des dépôts et consignations, Caisse nationale des allocations familiales,
Carrefour, Chambre nationale des huissiers de justice, CHU de Bordeaux, de Lyon, de Nice,
Communauté Urbaine de Marseille Provence, Conseil Général de Guyane, de la Gironde, de
Seine-Maritime, CCIP, CPAM des Bouches du Rhône, Crédit Immobilier de France, Ecole
Polytechnique, Edenred, Fédération Nationale des Tiers de Confiance, Orange, IBM France,
INRA, Institut Curie, JC Decaux, Groupe Casino, Legrand, Malakoff Mederic, Michelin, La
Poste, Port autonome de Dunkerque, RATP, Région Haute Normandie, Région Lorraine,
Sénat, SNCF, UFC Que Choisir, Université de Corse Pasquale Paoli, Ville de Paris, de
Poitiers, de Saint-Etienne, Total...