Fermer la publicité
Journal d'information juridique et d'annonces légales

RGPD : état de l'art par les DPO européens

le - - Droit - Actualité du droit

RGPD : état de l'art par les DPO européens
© A.P. - Xavier Leclerc, président de l'Union des data protection officers, a animé cet atelier où des DPO de toute l'Europe ont partagé leurs expériences.

L'atelier “Etat de l'art du RGPD en Europe”, qui s'est tenu le 16 mai à l'occasion du Congrès européen Compliance & Technologie organisé par l'Institut du Risk & Compliance (IRC), a réuni de nombreux professionnels pour faire un tour d'horizon de la mise en application du RGPD dans les entreprises européennes. Un chantier à différents stades de maturité selon les Etats membres.

Xavier Leclerc, CEO de Data privacy management system (DPMS), président de l'Union des data protection officers (UDPO), a commencé par faire un point sur l'état de lieu de la mise en conformité RGPD en France grâce au réseau créé par l'UDPO, dédiée à la pratique professionnelle de ses confrères DPO.

Si les grands groupes franciliens sont presque en conformité avec le RGPD, ce n'est pas le cas des TPE-PME en région.

« Même de très grandes entreprises n'ont pas le budget, comme Sanofi où seulement 8 personnes sont chargées de la protection des données !», a souligné Xavier Leclerc, président de l'Union des data protection officers (UDPO).

Comment les DPO et les compliance officers peuvent-ils travailler de concert pour améliorer la conformité RGPD des entreprises ? L'important est qu'ils soient d'abord indépendants et puissent communiquer directement avec leur direction et les équipes opérationnelles, et ensuite qu'ils s'organisent et se forment des dans réseaux dédiés.

Professionnalisation des DPO

« Je suis un des premiers DPO de France depuis l'an 2000 », a lancé en anglais Xavier Leclerc avec humour à l'auditoire international. L'intervenant a fondé et préside l'UDPO après ainsi que l'Association française des correspondants à la protection des données personnelles (AFCDP).

Après avoir expliqué le système de certifications délivrées par la Cnil aux organismes de formation et de contrôle, ce dernier a alerté ses confrères sur le besoin de certification et de professionnalisation des DPO pour prévenir les arnaques et professionnalisé le métier.

« Nous avons un rôle important à jouer », selon Xavier Leclerc, président de l'Union des data protection officers (UDPO).

Une mission partagée par l'assistance, notamment par Spiros Tassis, président de l'association grecque des DPO (HADPP), qui a rappelé que la protection des données recouvre aussi un volet de communication et qu'il faut assainir le secteur gangrené par des consultants véreux.

Il ressort qu'avant le RGPD, les DPO se sentaient très seuls à porter le sujet de la protection des données dans l'entreprise et la société. Finalement, le règlement n'a pas changé la difficulté technique de la tâche mais a permis de la faire connaître et de sensibilité l'opinion publique.

Un congrès annonceur du futur

En ouverture du congrès, Bob Conlin, président et CEO de Naxex Global s'est prêté au jeu de la prédiction en imaginant la compliance en 2025. © A.P.

Avec ce tout premier congrès européen dédié à la compliance tenu à Paris, l'Institut du Risk & Compliance a réuni la crème des experts, des compliance officers aux DPO, pour aborder les différentes problématiques et la prospective de leurs fonctions.
L'IRC a saisi l'occasion pour lancer officiellement l'association européenne des DPO et annoncer qu'il prépare le lancement prochain du Cercle Européen des Regtech, afin de rassembler pour la première fois les entreprises qui s'attellent à révolutionner le monde de la compliance par l'innovation et la technologie. En parallèle est également institué l'Association Française des Reg & ComplianceTech.

Contrairement à ses homologues grec et français, Thomas Spaeing, président de l'association des DPO allemande BVD, se réjouit que la plupart des dirigeants d'entreprise allemands aient déjà implémenté le RGPD dans leur gouvernance. Il y a déjà 160 000 DPO répertoriés en Allemagne et un projet de « Data protection media awards », a précisé l'expert.

Le RGPD n'a pas vraiment été une révolution pour les Allemands car une loi y ressemblant beaucoup était en application depuis 1977. « Les DPO existaient déjà depuis cette date dans les entreprises de plus de 10 salariés ». Cette préoccupation sur les données personnelles remonte à l'Histoire et la peur de la surveillance pendant la période du rideau de fer.

Actions divergentes des autorités de contrôle

En France, la Cnil est très active dans l'accompagnement des entreprises et propose des tas d'outils d'aide à la mise en conformité. Elle enregistre par ailleurs de plus en plus de plaintes pour des atteintes aux données personnelles et commence à prononcer des sanctions, dont la plus emblématique a touché Google.

« Je pense qu'on a besoin d'énormes amendes pour marquer les esprits », a plaisanté Xavier Leclerc.

Pour lui, « ce qui est très important est d'arrêter de penser qu'il faut être en conformité pour ne pas être sanctionné par la Cnil mais le faire car c'est bon pour le business ».

La nouvelle présidente de la Cnil, Marie-Laure Denis, a ouvert sa présidence en prévenant que la période de transition était désormais terminée et que la commission va prononcer davantage de sanctions.

En Allemagne, il n'y a pas moins de 17 autorités de contrôle ! Thomas Spaeing, expert de la protection des données depuis 1997, a pu expliquer ce fonctionnement original avec les 16 organismes régionaux et l'autorité fédérale. A la plus grande surprise de l'assistance, pour le moment, elles n'ont pas encore prononcé beaucoup de sanctions. Seul 75 cas d'amendes RGPD ont dépassé les 6 000 euros, et la plus élevée était de seulement 80 000 euros. C'est très bas comparé aux amendes prononcées par les autres autorités européennes, comme celle portugaise qui a récemment mis à l'amende un hôpital public.

En Grèce, il n'y a pas encore de sanctions prononcées sur des faits commis après l'entrée en vigueur du RGPD. Spiros Tassis anticipe toutefois une augmentation des contrôles due aux nombreuses plaintes déjà enregistrées par l'autorité de contrôle unique.

Ce qui est sûr est que les DPO attendent avec impatience les premières amendes prononcées par l'autorité irlandaise, qui a les géants du net sur son territoire.




Anne MOREAUX
Journaliste

Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide


Fermer
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et de technologies similaires par notre société ainsi que par des tiers, afin de réaliser des statistiques d'audiences et de vous proposer des services éditoriaux et la possibilité de partager des contenus sur des réseaux sociaux. En savoir plus / paramétrer