Dans un communiqué commun, les principales associations de protection des données en Europe saluent la volonté de la Commission européenne de réduire les formalités administratives pesant sur les entreprises, dans le cadre du travail engagé de définition d’une nouvelle approche de la protection des données personnelles dans l’Union européenne. Ceci étant, les associations partagent le point de vue de la Commission, selon lequel cette simplification administrative ne doit pas engendrer une réduction du niveau ou de l’effectivité de la protection des données.
La GDD allemande, l’AFCDP française, la NGFG néerlandaise, et l’APEP espagnole en appellent donc à ce que le nouveau texte européen renforce le rôle du délégué à la protection des données personnelles (DPO) dans les Etats membres. Le DPO -Correspondant “informatique et libertés” (CIL) en France – est le gardien du respect des règles de protection des données. Il devrait jouer un rôle majeur dans les projets de la Commission d’améliorer la conformité à la réglementation par l’introduction du principe dit d’“accountability”. Dans une société du numérique où de plus en plus d’informations sont traitées, copiées et partagées sur des supports aux capacités infinies, entre de nombreux acteurs et par delà les frontières nationales, le DPO est devenu un acteur essentiel pour la protection de la vie privée des consommateurs, des salariés et des citoyens.
Le rôle crucial et croissant du DPO a été reconnu au niveau mondial dans la “Résolution de Madrid” sur les principes internationaux de protection des données approuvée par les autorités de protection des données de plus de 50 pays lors de la 31èmeConférence Internationale des Commissaires à la Protection des Données et de la Vie Privée en 2009. L’une des sections clé de ce document fait référence à des mesures proactives et comporte la recommandation de désigner des correspondants à la protection des données ayant les qualifications, ressources et les pouvoirs suffisants pour exercer leurs fonctions de supervision de manière adéquate.
La GDD, l’AFCDP, la NGFG et l’APEP conviennent que pour beaucoup d’organismes, il est de bon sens de designer un DPO. “Après tout, les sociétés implantées dans les Etats membres doivent de toute façon se conformer aux lois de protection des données et il faut bien que quelqu’un fasse le travail nécessaire”, souligne Christoph Klug de la GDD. Sachiko Scheuing, de la NGFG poursuit “Les DPO, bien entendu, ont une bonne connaissance des lois et réglementations en matière de protection de la vie privée. Ce qui fait leur particularité, c’est le fait qu’ils ont par ailleurs une bonne connaissance de leur organisme. Cette combinaison unique de connaissances leur permet d’être efficaces.”
Une enquête menée aux Pays Bas, par le Ministère de la justice, montre que les organismes qui ont désigné un DPO présentent un plus haut niveau de connaissances et de sensibilisation à la matière. Les associations de protection des données ont constaté, ces dernières années, une forte croissance du nombre de DPO. “Les DPO ont démontré qu’ils étaient utiles tant aux responsables de traitement qu’aux personnes concernées, et ils continueront de l’être, les règles de protection des données pouvant être complexes à appliquer dans un monde de technologies en constante évolution” déclare Pascale Gelly de l’AFCDP. “Les organismes et les individus doivent pouvoir se fier à des professionnels compétents: les DPO. Nous sommes les témoins de l’émergence d’une nouvelle profession”, poursuit Pascale Gelly.
Cecilia Alvarez de l’APEP ajoute: “Les DPO sont indispensables aux responsables de traitements et aux sous-traitants pour mettre en pratique les principes d’ « accountability » et « privacy by design » dans l’Union européenne. Pour créer la confiance dans un domaine où il faut combiner à la fois les droits fondamentaux et les intérêts économiques, il faut créer des DPO dotés d’un statut juridique spécifique, ce qui n’existe pas dans certains pays de l’Union européenne, tels que l’Espagne.”
Compte tenu de ces signaux forts, les associations en appellent au législateur européen pour qu’il introduise des dispositions dans le texte à venir, qui définiront et harmoniseront le rôle et les caractéristiques du DPO en Europe. Qu’elles soient intégrées dans le cadre d’une révision de la directive ou dans un règlement, des dispositions plus précises sur le DPO sont attendues. “Il est nécessaire que des dispositions claires et détaillées soient adoptées non seulement sur les qualifications du DPO, ses fonctions et missions, mais également sur le statut légal du DPO”, conclut Christopher Klug de la GDD.
Fortes de leurs années d’expérience en matière de protection des données au sein des entreprises, les associations savent combien il est important d’impliquer tôt les DPO dans le planning des projets, et de permettre aux DPO de disposer d’une ligne de communication directe avec la direction d’un organisme. Ainsi, l’Allemagne a connu des expériences positives depuis 30 ans avec la désignation obligatoire des DPO. Cependant, des scandales récents en matière de protection des données auraient pu être évités si des DPO avaient été suffisamment impliqués.
La GDD, l’AFCDP, la NGFG et l’APEP souhaitent partager leur expérience et leur expertise sur des sujets tels que les missions, les qualifications, la certification, le statut, les pouvoirs et les ressources du DPO. Elles discutent actuellement de la création d’une confédération européenne pour faciliter le dialogue avec les institutions européennes afin que le point de vue des DPO soit entendu dans l’élaboration de la réglementation.