L’AFCDP insiste sur l’ampleur du RGPD

Le RGPD est plus qu’une étape informatique et juridique à franchir, mais un changement complet de responsabilité.

Sources : CIO | Didier Barathon | 27 février 2018

L’ACDP (Association française des correspondants à la protection des données à caractère personnel) a le sens du timing, ou de l’humour, en programmant sa prochaine assemblée générale le 24 mai prochain, veille de la date butoir pour être conforme au RGPD. Le sujet est un peu le sien, puisque née avec les CIL, elle a vocation à regrouper les DPO et futurs DPO, et, surtout, à accompagner cette mutation et la prise en compte du sujet par les entreprises, au plus haut niveau.
L’AFCDP est un coureur de fond, il y a cinq ans déjà, elle préparait l’arrivée du nouveau Règlement européen. Et depuis, elle a oeuvré pour faire naître CEDPO (Confederation of european data protection associations), l’organisation européenne qui regroupe ses homologues.

Dans la dernière ligne droite pour la mise en conformité RGPD, l’AFCDP se concentre sur le projet de loi en discussion au parlement. Un passage délicat puisque le Règlement en principe ne peut être transposé, même pas copié,  mais doit quand même être défini  dans la loi française par rapport aux textes déjà existants. « En première lecture le texte a été adopté (le 13 février) par 500 députés, un très fort consensus, ce n’est donc pas un texte politique qui divise et c’est une bonne chose », note Paul-Olivier Gibert, Président de l’AFCDP.

Le RGPD c’est un changement de paradigme

Dans les organisations, publiques ou privées, l’adoption du Règlement se fait de manière contrastée. « Il faut abandonner toute idée de comparaison avec l’an 2000 ou le passage à l’euro. Le RGPD c’est un changement de paradigme, les principes de base sont importants mais la logique encore plus, avec une notion de responsabilité de plus en plus forte ».
Dans d’autres sujets comme la fraude fiscale s’est mise en place la notion d’imprescriptibilité des fraudes, les montants des amendes sanctionnant des infractions sur le sujet des données personnelles vont devenir de plus en plus importants : avec le RGPD, ils atteignent 4% du chiffre d’affaires mondial. Le sujet de la protection des données personnelles et d’éventuelles sanctions apparaît dans un monde où le respect de la conformité au sens large prend une autre tournure.

Les dirigeants sont-ils correctement informés des risques  de sanctions et de ceux encourus en termes d’image ?
Quel sera l’effet d’une sanction rendue publique ?
Comment se mettent en place les DPO, comment s’organise cette fonction quand elle est mutualisée ?

L’échéance approche et tout le monde n’est pas au même niveau d’information et de prise de responsabilité.
Avec des extrêmes comme les TPE également concernées, ou de grandes entreprises disposant de plusieurs business unit ou de GIE, où chacun risque de se rejeter la responsabilité.
Là encore, la DG a une forte responsabilité et doit être au courant des opérations menées et des responsabilités exercées, dans le traitement des données et dans l’exercice de la responsabilité de DPO, ce qui n’est pas forcément la même chose.