Le mardi 12 mars 2013, les chargés de la protection des données se sont réunis à Luxembourg. Avec le soutien de la CNPD, l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) a organisé une conférence à l'auditoire de la BGL BNP Paribas.
Cette manifestation visait à encourager l’essor de la fonction de correspondant/délégué à la protection des données au sein même des entreprises et des organismes privés et publics et de fédérer les échanges d’expériences (bonnes pratiques sectorielles, etc.). La fonction du chargé de la protection des données (en France "correspondant informatique et libertés"; en Allemagne "Betrieblicher Datenschutzbeauftragter") est appelée à prendre plus d’importance avec la réforme de la protection des données en cours au niveau européen, qui mise encore davantage sur la responsabilisation des acteurs.
La conférence était également l’occasion de réunir les membres luxembourgeois de l’association et les chargés de la protection des données dans le cadre de l’évolution de leur métier et de contribuer à une extension de leur présence dans les entreprises. Cet événement n’était pas seulement ouvert aux chargés de la protection des données, mais à tout professionnel concerné par le respect des lois de la protection des données (avocats, juristes d’entreprise, RSSI, risk managers, déontologues, etc).
Par ailleurs, la volonté de créer une entité luxembourgeoise de l’AFCDP a été exprimée lors de la conférence. Une réunion de travail à ce sujet se déroulera prochainement au Grand-Duché. Les personnes intéressées à participer à cette réunion peuvent contacter le Délégué général de l’association (delegue.general@afcdp.net).
Après un mot de bienvenue de Monsieur Carlo Thill, président du comité de direction de BGL BNP Paribas et de Monsieur Paul-Olivier Gibert, président de l’AFCDP, la conférence a été entamée par Madame Nathalie Sprauer, compliance & privacy officer auprès de la BGL BNP Paribas. Elle a apporté des solutions aux problèmes spécifiques rencontrés par les responsables du traitement ayant recours au “cloud computing”.
Ensuite, Monsieur Gérard Lommel, président de la CNPD, a présenté un bref historique de la fonction du chargé de la protection des données dans les pays “pionniers” dans le domaine tels que l’Allemagne et a abordé les droits et devoirs spécifiques du chargé issus de la législation luxembourgeoise.
Maître Cyril Pierre-Beausse, avocat à la Cour (cabinet Allen & Overy), a montré l’importance d’une bonne interaction entre le RSSi (responsables de la sécurité et des systèmes de l’information) et le chargé, notamment parce que ces deux fonctions poursuivent le même but au sein d’une entreprise ou tout autre organisme traitant des données personnelles. Lors d’une faille de sécurité, cette coopération devient indispensable afin de garantir une réactivité accrue du responsable du traitement (information des autorités et personnes concernées).
Maître Pascale Gelly, administratrice de l’AFCDP en charge de l’international, a fait le point sur l’état d’avancement des travaux sur le projet de règlement européen actuellement en discussion au Parlement européen et au Conseil. Maître Gelly a précisé que plusieurs versions des dispositions quant à l’obligation de désignation d’un chargé (selon le nombre de salariés auprès du responsable du traitement, selon le nombre de personnes concernées, selon la nature des données traitées) sont proposées en tant qu’amendements par les différentes commissions parlementaires.
Ces présentations ont été suivies par une table ronde, animée par Maître Pascale Gelly, avec les chargés Cédric Nédélec (PricewaterhouseCoopers), Richard Bertrand (Actecil) et Violaine Langlet (Vanksen) sur la vision du rôle futur des chargés dans les entreprises et organisations luxembourgeoises.
Enfin, la conférence a été clôturée par Monsieur Bruno Rasle, délégué général de l’AFCDP, qui a dessiné un bref historique et un portrait actuel de l’association organisatrice.
L’Association Française des Correspondants à la protection des Données à caractère Personnel
L’AFCDP a été créée en 2004 dans le contexte de la modification de la loi française de la protection des données qui a officialisé une nouvelle fonction, celle du correspondant à la protection des données à caractère personnel” (“correspondant informatique & libertés” – CIL). A côté de ces derniers, elle est ouverte entre autres aux délégués à la protection des données, juristes et avocats, spécialistes en ressources humaines, informaticiens, professionnels du marketing et du commerce électronique, universitaires et étudiants, experts en sécurité, consultants etc.
Elle s’est fixé les objectifs de promouvoir la fonction de CIL comme “métier”, de réaliser un cadre d’échanges par le biais d’un réseau en France et au niveau international, de concevoir des outils, méthodes et pratiques utiles pour les CIL et de défendre la fonction de ce dernier. L’association regroupait en 2012 plus de 60% des entités ayant désigné un CIL, plus de 1.000 professionnels et plus de 500 membres.
Plusieurs groupes de travail ont été instaurés auprès de l’AFCDP afin de concrétiser l’activité de l’association. De multiples facettes du domaine de la protection des données sont abordées, par exemple: missions, rôle et formation du CIL, bilan annuel, déontologie du CIL, référentiels et labels, contrôles CNIL, données prospects et clients, flux transfrontaliers, géolocalisation, données de santé, durée de conservation, traitements ressources humaines, réutilisation de données publiques, réseaux sociaux, etc. De nombreux documents pratiques et de guidance à l’attention des CIL sont produits par ces groupes de travail sur les thèmes abordés.
Afin de faire sa veille et entretenir son réseau, l’AFCDP organise quatre types de manifestations, à savoir les Universités du CIL, les Assises du CIL, les rencontres entre membres (à Paris et dans les autres régions de France) et les Conférences-Débats. Par ailleurs, elle emet une lettre d’informations et offre un réseau social réservé aux membres destiné à faciliter les échanges.
Finalement, l’association entretient des relations étroites avec la Commission nationale de l’informatique et des libertés (CNIL) concrétisées par l’organisation de rencontres régulières, de réunions de travail et la participation à l’élaboration et la révision de cadres légaux en matière de protection des données.
Le chargé de la protection des données au Luxembourg
Depuis l’entrée en vigueur de la loi (modifiée) du 2 août 2002, tout responsable du traitement dispose de la faculté de désigner un chargé de la protection des données, fonction officialisée par les dispositions de l’article 40 de ladite loi. Jusqu’à sa modification en 2007, il n’était pas possible de désigner une personne salariée de l’organisme responsable du traitement, mais il a fallu recourir à un chargé externe inscrit à la liste des personnes agréées par la CNPD afin d’exercer cette fonction. Depuis 2007, sur suggestion de la CNPD, peuvent être désignées comme chargés également des personnes internes (salariées), à condition que ces dernières bénéficient d’une certaine indépendance vis-à-vis des responsables du traitement qui les ont désignés et qu’elles disposent d’un temps approprié pour pouvoir s’acquitter de leurs missions.
Les responsables ayant désigné un chargé de la protection des données sont exemptés du devoir de notification des traitements qu’ils mettent en oeuvre. Ces derniers doivent cependant figurer dans le registre des traitements que le chargé doit établir et tenir à jour de façon permanente et transmettre tous les quatre mois à la CNPD.
Conformément à l’article 40 de la loi, le chargé doit surveiller le respect des dispositions de la loi et ses règlements d’exécution. A cet effet, il dispose d’un pouvoir d’investigation et un d’un droit d’information auprès du responsable du traitement et, corrélativement, un droit d’informer le responsable du traitement des formalités à accomplir afin de se conformer aux dispositions légales et réglementaires en la matière. Le chargé doit en outre consulter la Commission nationale en cas de doute quant à la conformité à la loi des traitemens mis en oeuvre sous sa surveillance. D’autres dispositions relatives aux chargés sont ancrées dans le règlement grand-ducal du 27 novembre 2004.
Avec la désignation d’un chargé, l’expertise de la protection des données fait son entrée dans les entreprises ou autres organismes. Le projet de règlement européen actuellement discuté entend généraliser la fonction du chargé de la protection des données dans les entreprises et organismes à partir d’une certaine taille ainsi que dans ceux dont la nature des traitements de données le justifient.