Paul-Olivier Gibert (AFCDP) : « DORA et NIS2 cadrent l’usage des données en complément du RGPD »

Pouvez-vous nous rappeler ce qu’est l’AFCDP (Association française des correspondants à la protection des données personnelles) ?

Il s’agit de l’association professionnelle des DPO. Nous avons aujourd’hui 2100 adhérents, essentiellement des personnes morales ayant nommé un DPO. Cela représente environ 6700 personnes physiques. Le couple DPO/responsable de traitement est, en général, celui qui vient à nos événements et participe à nos travaux mais il arrive que le Chief Data Officer le le RSSI les accompagnent.

L’AFCDP a une équipe de sept salariés à temps plein. Mais, pour garantir notre stricte indépendance, notre financement n’est assuré que par les cotisations des membres, sans sponsoring.

Quelles sont vos activités ?

Tout d’abord, nous avons nos activités digitales autour de notre plate-forme Agora. Les taux d’enrôlement des personnes physiques issus de nos adhérents est de l’ordre de 60 %.

Les autres événements que nous organisons sont en général hybrides avec du physique et une retransmission en webconférence.

Le plus important est bien sûr, en janvier ou février chaque année, notre Université des DPO avec un millier de participants à la Maison de la Chimie. Depuis l’édition 2024, cette Université est sur deux jours.

Ensuite, avec 400 à 500 participants chaque année, nous avons l’Assemblée Générale.

Enfin, nous avons les réunions de travail, avec une centaine de participants (DPO bien sûr mais aussi CDO, RSSI…) à chaque fois à Paris ou en Province, soit sur des enjeux régionaux, soit sur des thématiques (par exemple : la protection des données de santé). Certaine de ces réunions se font en partenariat avec la CNIL, par exemple celle d’aujourd’hui à Nancy. Nous en avons plus d’une centaine par an et, en 2024, nous devrions atteindre les 150.

Justement, cette Assemblée Générale aura lieu cette année le 26 juin. Que s’y passera-t-il ?

L’après-midi, nous aurons la partie administrative (rapport moral, rapport financier…). Le mandat du Conseil d’Administration élu en 2021 étant de quatre ans, il n’y a pas d’élections cette année mais il sera renouvelé l’an prochain. Dans les questions que nous allons étudier, nous souhaitons créer un espace pour valoriser les travaux de nos groupes de travail.

Auparavant, le matin, nous aurons une partie colloque avec, cette année, quatre temps forts. Nous allons ainsi réfléchir sur les Jeux Olympiques de Paris 2024 avec les usages faits des données personnelles à des fins de sécurité. Nous allons également présenter l’enquête lancée sur le métier de DPO par la CEDPO (la confédération européenne réunissant l’AFCDP et ses homologues des autres pays) et qui fait suite à plusieurs enquêtes faites par l’AFCDP, la CNIL, etc. Bertrand Pailhes, directeur de l’innovation et des technologies de la CNIL, interviendra autour du sujet de l’intelligence artificielle et de ses usages. Enfin, le dessinateur de presse Luc Tesson expliquera sa vision et sa manière de traiter la protection des données personnelles.

Quels sont, aujourd’hui, les enjeux d’actualité du DPO ? Etes-vous concernés par les réglementations de type NIS2/DORA ?

Oui, complètement, nous sommes concernés. Parmi leurs thèmes, DORA et NIS2 cadrent en effet l’usage des données en complément du RGPD. Nous nous posons aussi des questions sur l’AI Act car qui va être en charge de la mise en conformité opérationnelle ? Comme les données personnelles peuvent être concernées, le DPO sera sans doute amené à s’en occuper d’une manière ou d’une autre. Quoiqu’il en soit, l’AFCDP va s’intéresser à la transposition en droit français de ces directives.

Il y a un an, vous avez lancé un accompagnement psychologique des DPO en difficultés, ce qui est inédit dans une association professionnelle. Quel bilan en tirez-vous ?

Le dispositif n’est réellement opérationnel que depuis la fin 2023. Le principe est qu’un DPO souhaitant un soutien appelle une société extérieure spécialisée pour être mis en relation avec un psychologue. L’appelant aura entre un et trois entretiens téléphoniques avec le psychologue.

Bien évidemment, nous n’avons aucun accès à l’identité de ceux qui sollicitent le service et moins encore au contenu des échanges. Nous n’aurons jamais beaucoup d’information sur les utilisations réelles du service.

Par contre, nous savons qu’il y a une à deux demandes par mois. Pour un service qui démarre à peine, c’est, je pense, beaucoup. S’il est probablement trop tôt pour interpréter ces données, il est certain que c’est un service utile et qu’il répond à un besoin réel.

Quels sont les défis propres à l’AFCDP que votre association doit relever ?

Notre fonction et notre finalité, c’est d’être la Maison des DPO pour leur apporter des solutions pragmatiques dans leur quotidien professionnel tout en respectant la variété de leurs situations. L’AFCDP doit, de plus, conserver sa stricte indépendance.

Notre défi unique, finalement, c’est de maintenir un accompagnement de qualité tout en maintenant de bonnes relations avec le régulateur, le gouvernement et le parlement afin de pouvoir aider les DPO de la préparation des réglementations à la gestion d’une crise particulière.