Le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) entrait en vigueur. Si ce texte a pu être décrié, notamment pour sa rédaction qui en rend la compréhension peu intuitive, il a marqué une rupture dans les conditions d’utilisation des données relatives aux personnes. Le mois dernier, Mark Zuckerberg, fondateur de Facebook, plébiscitait même le modèle dans son échange avec Thierry Breton, Commissaire européen au Marché intérieur.

Le RGPD plus que jamais d’actualité

Pour ce deuxième anniversaire, l’actualité démontre la nécessité de ce texte et la pertinence de son architecture qui permet d’assurer l’utilisation de données tout en garantissant le respect des droits des individus sur celles qui les concernent personnellement.

Les débats autour des outils de suivi de la pandémie de Covid-19 démontrent la pertinence de cette architecture fondée sur la légitimité du traitement mis en œuvre par un organisme, la bonne information des personnes et le respect de leurs droits et libertés.

Ainsi, le règlement (considérant 46) prévoit explicitement le traitement de données pour le suivi des épidémies : « Certains types de traitements peuvent être justifiés à la fois par des motifs importants d’intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation ».

Toutefois, cette possibilité n’est nullement un blanc-seing : les données personnelles et leurs traitements doivent être strictement nécessaires à l’objectif recherché. Le Règlement prévoit que les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités visées par le traitement.

Mais comment en garantir l’application ?

Si le RGPD est une réglementation nécessaire pour garantir les droits et libertés des personnes dans un monde où l’exploitation des données joue un rôle central, elle ne pose que des principes. Le traitement de données personnelles doit être mis en œuvre dans des conditions de transparence vis-à-vis des personnes concernées, qui disposent de droits que le responsable de traitement a l’obligation de garantir.

Le RGPD ne jouera son rôle protecteur que s’il est effectivement appliqué et c’est la mission du DPO (Data Protection Officer ou Délégué à la Protection des Données), fonction préfigurée en France par le Correspondant Informatique et Libertés (CIL).

Le DPO exerce plusieurs missions auprès des dirigeants des organismes auxquels il fournit les conseils sur les obligations en matière de protection des données personnelles ; il veille au respect du cadre légal et contrôle la conformité des traitements ; il assure la coopération et est le point de contact avec l’autorité de protection des données – en France, la Commission Nationale Informatique et Libertés (Cnil).

Il conduit ou fait réaliser les analyses d’impact sur la vie privée. Ces analyses visent à déterminer si un traitement de données personnelles ne présente pas un risque excessif pour les individus. Il s’agit ainsi d’un outil essentiel pour assurer l’équilibre entre la finalité recherchée par un traitement de données et le respect des droits et libertés des personnes à travers l’utilisation d’informations qui les concernent.

Pour être efficace, le DPO doit être en mesure, outre de maîtriser le RGPD, de bien appréhender l’activité de l’organisme où il exerce ses missions et le fonctionnement de ses systèmes d’information.

Ainsi, l’Europe et la France disposent avec le RGPD d’un cadre permettant l’équilibre lors de la nécessaire utilisation des données, y compris lorsqu’elle concerne des informations sensibles. Il serait dommageable dans la difficile période de transition que nous connaissons aujourd’hui que ce cadre reste désincarné. Le DPO a donc une mission importante en permettant que ce cadre soit effectivement appliqué, et c’est l’ambition de l’AFCDP (Association française des correspondants à la protection des données à caractère personnel) de lui apporter le soutien nécessaire pour qu’il puisse effectivement la remplir.

______________________________________

Par Paul-Olivier Gibert,
Président de l’AFCDP (Association française des correspondants à la protection des données à caractère personnel)