@jpbichard : interview Cyberisques NEWS / Xavier Leclerc, PDG de DPMS, co-fondateur de l'AFCDP, fondateur de UDPO

Jean-Philippe-attypique

@jpbichard

Entretien : Cyberisques NEWS / Xavier Leclerc, PDG de DPMS, co-fondateur de l'AFCDP, fondateur de UDPO

5 octobre 2017

 

 

 

 

Xavier Leclerc : « attention il ne faut pas dénaturer un règlement européen qui s'applique en priorité par rapport aux lois nationales en transposition d'une simple directive »

 

Xavier Leclerc, PDG de DPMS, co-fondateur de l'AFCDP, fondateur de UDPO s'exprime sur le role futur du DPO et... son éviction de l'AFCDP

 

Cyberisques-News : Débutons par l'actualité, vous venez d'apprendre que l'AFCDP, association « historique » de CIL créée en 2004 vient de décider le 4 octobre 2017 d'entamer une procédure d'exclusion à votre encontre. Vous en êtes le co-fondateur avec l'avocat Alain Bensoussan. Lui aussi a créé comme Vous sa propre association de DPO orientée « CAC 40 ». Comment réagissez-vous à cette mesure disciplinaire ?

Xavier Leclerc : Je suis en effet surpris par cette mesure qui, si elle se confirme, indique au delà d'une évidente brutalité, une volonté de fermer les portes aux propositions de rapprochement que l'UDPO a formulé récemment.

 

 

L'ADPO (Association Data Protection Officers)  créée par le cabinet Alain Bensoussan, l'UDPO fondée par Vous, PDG de DPMS acteur privé bien connu des CIL, ces deux nouvelles associations peuvent inquiéter l'AFCDP ?

Peut-être mais Alain Bensoussan et moi avons pratiqué la politique de la main tendue pour ouvrir nos propositions à l'AFCDP. Regardez comment cette société savante nous répond.

 

 

Société savante ?

Oui, au sens ou l'UDPO est davantage un syndicat professionnel. Je vous rappelle que 70% des CIL actuels ne deviendront pas DPO. Il est urgent d'offrir à ce nouveau métier de nouvelles structures à une échelle européenne en partenariat avec des acteurs professionnels de la certification par exemple.

 

 

DPO

 

 

 

La CNIL ne semble pas apprécier votre initiative visant a proposer des formations payantes de DPO alors que des universités (Nanterre, Panthéon-Assas en Droit) et le CNAM proposent des diplômes universitaires « gratuitement » ?

Nous offrons une certification via Bureau Véritas Certification* par exemple et pas seulement française pour nos futurs diplômés. Il est paradoxal qu'un règlement européen comme le RGPD n'ait pas une certification européenne au niveau des formations. Nous offrons un diplôme de grade « Master » européen.

 

 

 

Votre procédure d'exclusion de l'AFCDP peut-elle être interprétée comme un signal fort qui indique que désormais entre la fonction CIL et le métier de DPO, un fossé se creuse ?

Ce sont des métiers et fonctions complémentaires. Beaucoup de CIL dont la responsabilité était encadrée par une législation en mode « déclaratif » (à la CNIL) n'ont pas aujourd'hui les moyens d’appréhender le métier de DPO qui n'est plus dans le déclaratif mais sous un mode de réglementation européenne avec de lourdes sanctions à la clé.

 

 

 

Que manque t-il aux CIL pour évoluer selon Vous vers une fonction DPO ?

Au sein de bon nombre d'organisations, peu de CIL bénéficient d'un budget propre, de moyens réels et même d'objectifs clairs. En outre, certains occupent cette fonction en parallèle avec d'autres (RSSI, DSI, juriste... par exemple). Pour le métier de DPO, c'est différent : encadré par des articles précis du RGPD, c’est un poste proche des COMEX et CODIR qui intéresse bon nombre de cadres en interne. En outre le métier de DPO nécessite la création d'un département ou se rassembleront des compétences multiples : juridiques, techniques....

 

 

 

Ce poste de DPO doit-il à vos yeux être « externalisé » et auprès de quels types d'acteurs : cabinets d'avocats, commissaires aux comptes, experts « Privacy Data », cabinet d'audit... ?

Tout dépend des besoins, des secteurs, des configurations, des moyens... des entités... Qui est réellement légitime pour offrir des « services » de DPO mutualisés sans être au passage juges et parties?

Les experts-comptables par exemple et commissaires-aux-comptes expédient des données sensibles donc personnelles (numéro de sécurité sociale) via des feuilles de paye par messageries souvent non sécurisées ; Rien n'est évident, les choses se mettent en place. En outre l'usage de solutions chiffrées ne suffit pas : il faut aussi garantir l’intégrité des données.

 

 

Justement au niveau des outils compatibles RGPD / GDPR les offres s'organisent. Quel regard portez-vous sur les solutions techniques actuelles ?

Aucune n'est compatible et celle que la CNIL cherche a promouvoir (cf. interview de Hélène Legras DPO d'AREVA dans Cyberisques NEWS**) n'est pas encore disponible. Cette plate-forme la encore pose la problématique juges et parties. Imaginez que l'outil de la CNIL « oublie » de cartographier certaines données à caractère personnel, que peuvent dire lors d'un contrôle les contrôleurs de la...CNIL ?

Notre outil proposé par DPMS depuis plusieurs années et mis à jour pour le RGPD a fait ses preuves. Ainsi des données à caractère personnel telles que les adresses IP mais aussi les vidéos et contrôles d’accès sont à prendre en compte lors d'une cartographie. Pour le DPO il s'agit de réaliser une tenue du registre principal, mais aussi de sous-registres pour tenir à jour des données « non officielles » (fichiers excel personnel par exemple). Il faut inventorier les traitements mais aussi les données « conséquentes » ou « résultantes » de ces traitements.

 

 

 

Un dernier point : le gouvernement devrait publier en fin d'année ou début d'année prochaine un texte d'adaptation de certaines mentions du RGPD (58 au total) au cadre juridique français notamment la Loi Informatique et Libertés. Est-ce qu’il faut s'attendre à des changements majeurs avec ce texte ? Vous savez qu'en Allemagne par exemple des modifications via un texte « national » ont fait évoluer la responsabilité pénale du DPO. Doit-on s'attendre à ce même type de mesures pour les DPO français ?

Non, je ne pense pas pour la question relative à la responsabilité pénale des DPO en France mais votre question est tout à fait intéressante. Effectivement que va-t-il rester des articles de la Loi Informatique et Libertés lorsque ceux du RGPD / GDPR vont s'appliquer ? Cette harmonisation des textes qui devrait être connue en début d'année 2018 ne doit pas transformer un règlement européen en directives que chaque état membre pourrait « interpréter ». Ainsi l'article 34 – 10 du RGPD élargit un article de la Loi Informatique et Libertés faisant état d'obligation de notifications pas seulement de la part d'opérateurs telco mais à l'ensemble des acteurs. Donc cet article de la Loi Informatique et Libertés va évoluer. Mais attention il ne faut pas pour autant dénaturer un règlement européen qui s'applique en priorité par rapport aux lois nationales en transposition d'une simple directive.

 

 

 

On a quand même vu apparaître la notion de responsabilité pénale pour les DPO allemands. Cette notion « élargie » s'oppose a ce que le RGPD impose à savoir une responsabilité pénale pour les responsables de traitement ce qui est totalement différent. ..

C'est exact vous avez totalement raison. Cette mesure risque de faire fuir les DPO Groupe allemand vers d'autres pays de l'UE. J'ignore pourquoi l'Europe accepte de tels aménagements.

 

Propos recueillis par @jpbichard

 

Lire aussi: http://www.cyberisques.com/mots-cles-1/137-mots-cles-30-reglementation/697-du-rififi-dans-le-petit-monde-des-associations-de-cil-dpo

 

 

BONUS :

https://www.veritas.com/services/education-services/certification *

http://www.cyberisques.com/fr/mots-cles-20/695-dpo-news-cyberisques-portrait-helene-legras-dpo-areva-le-dpo-est-plus-un-profil-du-savoir-etre-que-du-savoir-faire **

 

En savoir plus :

( Article(s) complet réservé aux abonnés ) 

 

RGPD: http://www.cyberisques.com/fr/component/search/?searchword=RGPD&searchphrase=all&Itemid=582)

CNIL: http://www.cyberisques.com/fr/component/content/article/93-categorie-3/sous-categorie-3-1/621-interview-dpo-news-cyberisques-albine-vincent-chef-service-des-cils-au-sein-de-la-cnil

 http://www.dpms.eu/informations-cil-dpo-cnil/

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information