Patrick Blum,
Vice-Président Métiers, AFCDP
Avec son Observatoire trimestriel, l’AFCDP souhaite estimer l’évolution de la conformité des organisations, et évaluer la perception des DPO sur des sujets techniques et d’actualité.
Une confiance mitigée dans la protection des données privées
Il est manifeste que les DPO et les professionnel(le)s de la protection des données personnelles ont majoritairement (52% versus 54% au 1er trimestre) le sentiment qu’il y a encore du chemin à faire avant de considérer leurs organisations comme conformes au RGPD et autres mesures de protection des données personnelles. A noter que 13% des répondants jugent que les réglementations changeantes (invalidation du Privacy Shield, Cookies Wall, etc.) perturbent les stratégies de protection des données personnelles mises en place jusqu’ici. Cependant, il est très positif de noter que 30% des répondants se sentent écoutés et utiles, indicatif qu’il sera utile de suivre sur les prochaines éditions.
Un an après l’annulation du Privacy Shield
La majorité des répondants (52%) ne sont pas encore à l’aise avec l’impact de l’invalidation du Privacy Shield et n’ont pas encore organisé l’éventuel rapatriement du traitement de leurs données critiques ou métiers en Europe. Si le jugement de la CJUE a invalidé le « Privacy Shield », il n’a pas interdit le recours aux CCT. Il a cependant précisé comment interpréter la notion de « garanties appropriées » exigées par l’article 46 du RGPD. La Commission européenne a donc proposé de réviser ces CCT en conséquence. Cette évolution était très attendue, en particulier par les délégués à la protection des données, impatients de disposer d’un outil fiable pour assurer la conformité des transferts. Plus particulièrement vers les États-Unis d’où sont issues les multiples solutions technologiques sur lesquelles s’appuient les entreprises.
Dans une résolution adoptée le 20 mai 2021 à une très large majorité, le Parlement européen attirait l’attention de la Commission européenne sur les réserves du CEPD/EDPB (le comité des CNIL européennes) et du CEPD/EDPS (le DPO des instances européennes), et formulait des recommandations importantes. Comme la CNIL le résume dans sa FAQ sur les nouvelles CCT, celles-ci prennent en compte la législation du pays tiers de destination des transferts de données. C’est donc bien à l’exportateur, par exemple la PME ou l’association qui utilise les services d’un prestataire américain, de vérifier si la législation américaine n’est pas contraire aux obligations du RGPD et ne fait pas courir de risques aux données transférées.
Le suivi du degré de vaccination des équipes au sein des organisations
Le retour au bureau se fait au final plus rapidement qu’initialement imaginé. Nombreuses sont les mesures sanitaires déjà intégrées dans les organisations, alors comment gérer l’entrée en vigueur du passe sanitaire et la généralisation de la vaccination ? Et les enjeux de protection des données personnelles liés ? Finalement, la majorité des répondants (51%) ne considèrent pas que le suivi de la vaccination soit pertinent dans leur organisation. Mais cela dépend aussi peut-être du type d’organisation, car 12% des répondants ont tout de même confirmé effectuer un suivi.
Méthodologie : Dans le cadre de son Baromètre trimestriel, l’AFCDP a mené une enquête en ligne auprès de ses 6000 membres entre le 10 et le 21 juin 2021, via le réseau social privé de l’association (215 répondants) et sa page LinkedIn (60 répondants.