Gouvernance
Baromètre de l’AFCDP : des DPO divisés sur le Data Privacy Framework
Par Thierry Derouet, publié le 15 mars 2023
Le 7e baromètre de l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) traduit plusieurs inquiétudes partagées par les DPO.
Pas simple d’être un DPO en 2023. Près de 5 ans après sa mise en application, le RGPD commence à être de moins en moins perçu comme une contrainte règlementaire, et plus en plus comme une chance. À condition toutefois que le DPO n’ait pas le sentiment d’être débordé (⚠️risque de GDPR overflow). Sous peine de ne pas être en mesure de garantir la « compliance » tant attendue.
L’AFCDP : une prise de pouls permanente
Pour connaitre l’évolution des préoccupations de nos délégués à la protection des données, l’AFCDP propose — environ tous les trois mois — de prendre le pouls auprès de ses 6000 membres. Son dernier baromètre, le 7e, destiné tant à estimer aussi bien « l’évolution de la conformité des organisations que la perception des DPO sur des sujets aussi bien techniques que d’actualité » pose question.
En effet, quand plus de 41 % des DPO doutent que la protection des données de leurs entreprises respectives soit dans les clous et que 18 % disent s’interroger sur les conséquences qu’engendrent les évolutions règlementaires à venir, il est peut-être urgent de consulter le bon partenaire. Et si c’était justement celui dont on craint le plus les foudres, qu’il faut considérer comme le meilleur allié ?
Le CNIL, un partenaire, mais aucune immunité
Car contrairement à certaines idées reçues, c’est en général vers la CNIL qu’il faut se tourner pour obtenir de l’aide. D’ailleurs depuis la fin du mois de février 2023 — et ce jusqu’au 3 avril 2023 — la CNIL a lancé un nouveau dispositif intitulé « Accompagnement renforcé » destiné aux entreprises du numérique qui présentent « un fort potentiel de développement économique ou d’innovation » sous la forme originale d’un appel d’offres.
À la clé, « un appui juridique et technique dans des délais rapides », « une revue de conformité des traitements mis en œuvre » et des « actions de sensibilisation aux enjeux de la protection des données notamment à destination des salariés et/ou des dirigeants. »
Plus de 41 % des DPO doutent que la protection des données de leurs entreprises respectives soit dans les clous.
Comme le rappelle la CNIL sur son site, cet accompagnement n’est en aucun cas la garantie d’une immunité. Mais il vient s’ajouter aux autres dispositifs déjà proposés (fiches pratiques, guides, référentiels, lignes directrices sectorielles, réponses écrites, organisation de réunions, permanences téléphoniques et autres outils).
Des usagers de plus en plus concernés
Selon ce nouveau baromètre, les usagés seraient également de plus en plus soucieux de leurs données personnelles. Moins d’un tiers (27 %) des DPO interrogés voient de plus en plus de demandes arriver de la part des usagers, tandis que pour pratiquement la moitié d’entre eux (49 %), le nombre de demandes reste stable.
Pour Paul-Olivier Gibert, Président de l’AFCDP, ces chiffres sont très encourageants, « ils témoignent d’une prise de conscience générale » qu’il espère voir croitre à l’avenir. Quand on vous dit que les foudres qu’il faut craindre, ce sont celles des clients !
À LIRE AUSSI :
Un accord UE-EU qui laisse perplexe et divisé
Concernant la question épineuse du Data Privacy Framework (DPF), nos DPO sont autant perplexes que divisés. Elle est pour eux, soit « bien insuffisante (37 %) », soit perçue comme « seulement un pas vers un accord recevable (34 %) », soit considérée comme « la bonne solution (26%) » . Tout dépend donc si vous voyez le verre à moitié vide ou à moitié plein !
Pour Paul Olivier Gilbert, même si le décret signé par la Président Biden, pour donner suite à l’invalidation du Privacy Shield en 2020, marque une volonté, le DPF ne saurait être considéré par nos DPO comme une solution viable « pour garantir la conformité de leurs traitements de données personnelles entre les États-Unis et l’Europe.» Un avis partagé par le Comité européen à la protection des données (CEPD) depuis le 28 février dernier. Mais pas unanimement par nos DPO ?
À LIRE AUSSI :
7e édition du baromètre trimestriel de l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP)
1. Avez-vous confiance dans la protection des données privées au sein de vos organisations ?
18 % — Non, le contexte règlementaire changeant (privacy shield, cookies, etc.) crée de l’instabilité dans notre stratégie
41 % — Non, il y a beaucoup de chemin à faire
36 % — Oui, nous avons une stratégie agile et mes préconisations sont reconnues
5 % — NSP
2. Pour l’exercice du droit d’accès, constatez-vous ?
27 % — Plus de demandes de la part des usagers
49 % — Une certaine stabilité dans le nombre des de demandes reçues ?
17 % — Moins de demandes ?
7 % — NSP
3. Le nouvel accord UE-EU “Data Privacy Framework” vous semble-t-il ?
37 % — Ne pas suffire en l’état pour remplacer le Privacy Shield ?
34 % – Être seulement un pas vers un accord recevable ?
26 % — Être la bonne solution suite à la chute du Privacy Shield ?
3 % — NSP