Paul-Olivier Gibert (AFCDP) : « nous intégrons les droits individuels dans une société de la data »

Pouvez-vous nous rappeler ce qu’est l’AFCDP (Association française des correspondants à la protection des données personnelles) ?

Notre association regroupe les DPO et leur écosystème ainsi que toutes les personnes intéressées par la problématique de la protection des données personnelles. Nos adhérents sont plutôt des personnes morales et nous comprenons ainsi 2000 entreprises dont 60 % du CAC40 mais aussi des TPE, des associations, des hôpitaux, des administrations… Environ 6500 personnes physiques participent de ce fait à la vie de l’association et plus de 20 000 suivent nos activités et publications.

J’aime à présenter notre association comme une « école mutuelle ». Nous proposons des espaces où les DPO peuvent échanger, apprendre, pour améliorer leurs pratiques professionnelles. Nous disposons ainsi d’un réseau social privé avec 4000 participants actifs. Nos groupes de travail, qui créent des livrables, organisent en tout environ deux réunions par semaine, ce qui permet à chacun d’améliorer ses connaissances et sa compréhension des textes. Enfin, nous proposons l’Université des DPO, le colloque associé à notre assemblée générale qui, elle, évidemment est strictement réservée à nos membres.

Précisément, la prochaine Université des DPO est organisée par l’AFCDP les 8 et 9 février 2024. Pouvez-vous nous dire de quoi il s’agit ?

Cette année, nous y fêterons les vingt ans de notre association et elle durera deux jours au lieu d’un seul les années précédentes. Nous y aurons plusieurs thématiques de travail au fil des intervenants.

Nous y accueillerons notamment des intervenants prestigieux tels que Anu Talus, présidente de l’European Data Protection Board (EDPB, Comité européen de la protection des données, qui rassemble la CNIL et ses homologues en Europe, ex-G29), et Jean-Noël Barrot, Ministre délégué auprès du ministre de l'Économie, des Finances et de la Souveraineté industrielle et numérique, chargé du Numérique.

En complément de l’événement physique des 8 et 9 février 2024, nous aurons plusieurs présentations thématiques en vidéoconférences sur dix mois (un an hors février et août).

Le DPO est salarié de son entreprise mais doit être « l’empêcheur d’espionner en rond ». Est-ce toujours si simple ?

Il peut être salarié mais ce n’est pas nécessairement le cas. Même des personnes morales peuvent être DPO, en général des cabinets d’avocats.

Qu’il soit salarié ou prestataire, il n’est cependant pas seul à avoir cette position inconfortable : tous les professionnels de la conformité sont dans le même cas. Ce sont des « gate-keepers », des gardiens du temple, qui veillent à ce que l’organisation ne parte pas dans une mauvaise direction, en l’occurrence dans celle d’une non-conformité RGPD. Aujourd’hui, c’est moins compliqué qu’auparavant mais il faut que le DPO ait la capacité à faire accepter une solution qui n’aurait pas été choisie autrement par les équipes.

Cependant, il n’est pas, en principe, « l’empêcheur d’espionner en rond » dans une organisation de bonne foi qui veut juste utiliser les données à des fins légitimes. Le DPO doit lui permettre tout en tenant compte des contraintes.

Mais, de fait, le DPO se retrouve parfois au centre de tensions dans l’organisation.

Pourquoi l’AFCDP a-t-elle mis en place un soutien psychologique ? En quoi cela consiste-t-il ?

Fondamentalement, ce n’est pas quelque chose d’innovant mais c’est original pour une association professionnelle. Il s’agit d’une consultation, d’un entretien, avec un psychologue pour parler des difficultés dans le quotidien professionnel. Dans les sujets qui peuvent apparaître, il y a la pertinence de sa fonction, le burn-out ou les autres souffrances au travail. Elles n’épargnent en effet pas, bien sûr, les DPO, d’autant plus qu’ils ont ce rôle de « gate-keepers ».

Bruno Rasles a fait un intéressant travail sur ce sujet des souffrances au travail des DPO. Nous avons estimé que c’était de la responsabilité de l’association de mettre en place un tel dispositif.

Nous communiquons au cabinet avec lequel nous travaillons ce qu’il faut pour qu’il s’assure que celui qui consulte est bien membre mais, évidemment, nous ne saurons jamais qui a recours à ce service. Nous obtiendrons juste des données statistiques anonymes. Nous savons que le service est utilisé mais, comme il est récent, nous attendons un peu avant d’en tirer un bilan.

Quelles sont les relations entre le DPO, le RSSI, le DSI et le directeur marketing voire les autres directions ?

La logique de ces relations est dynamique car les technologies évoluent et, parfois, il y a du shadow IT pour contourner des résistances du RSSI ou du DSI. Il faut que chacun s’approprie les évolutions technologiques. Cela implique que les différents professionnels occupant ces fonctions sachent travailler ensemble au sein d’une instabilité inhérente aux évolutions permanentes.

L’association fête donc son vingtième anniversaire. Que retenez-vous de marquant dans ces vingt dernières années ?

En vingt ans, l’association est passée d’une centaine à 6500 personnes dans nos adhérents, de 0 à 7 salariés, de réunions en salles de cours à la privatisation de la Maison de la Chimie pour l’Université des DPO.

Bien sûr, nous avons assisté à une véritable explosion de la data et du numérique. L’association a ainsi encore gagné en intérêt : elle permet de travailler sur un sujet au cœur des stratégies des entreprises.

L’accès au numérique et le bon usage du numérique sont devenus essentiels dans le quotidien. Même en assistance à des personnes en détresse, il faut songer, en plus de l’eau et de la nourriture, à de l’électricité pour les smartphones.

Selon vous, quels sujets seront au cœur des préoccupations des DPO dans les vingt prochaines années ou, du moins, les quelques années qui viennent ?

Ne soyons, en effet, pas trop présomptueux et tenons-nous en aux toutes prochaines années !

Sans risque, je crois que l’on peut dire que la place du numérique dans le quotidien de chacun va encore s’accroître.

Bien évidemment, on peut aussi affirmer que l’intelligence artificielle (IA) sera pour nous un sujet d’importance croissante car, sans données (notamment des données personnelles), l’IA n’existe pas. Il va falloir notamment encadrer l’IAG qui permet de créer des contenus à partir des données.

Un autre sujet, déjà parmi nos préoccupations, est la croissance des échanges internationaux de données (notamment avec les USA), étant donné que le respect des droits individuels est loin d’être homogène dans les différents pays. Nous avons aussi à mener une réflexion sur l’articulation du RGPD avec les nombres autres normes relatives aux datas (Data Act, IA Act…). D’une manière générale, nous intégrons les droits individuels dans une société de la data.

En savoir plus

- Site de l’Université des DPO, les 8 et 9 février 2024 à la Maison de la Chimie (Paris).