Interview de Jean-Loup Guyot, directeur juridique d'ADLPerformance/ADLPartner

Jean-Loup Guyot, directeur juridique ADLPerformance/ADLPartner, CIL d'ADLPartner et bientôt désigné DPO.

Jean-Loup Guyot, directeur juridique ADLPerformance/ADLPartner, CIL d'ADLPartner et bientôt désigné DPO.

Un CIL est-il le mieux placé pour devenir DPO ? Selon vous, un DSI ou un RSSI peut-il occuper ce poste ?

Dès l'entrée en vigueur du GDPR en mai 2018, le CIL (Correspondant Informatique et Libertés) cessera d'être l'interlocuteur de la CNIL s'il n'est pas désigné DPO. Le CIL a une vocation naturelle à devenir DPO car, bien que les responsabilités dévolues à ce dernier par le GDPR soient beaucoup plus étendues que celles actuellement assumées par le CIL, les fonctions de l'un et de l'autre sont très proches. Mais bon nombre d'entreprises ne disposent pas de CIL puisque à ce jour cette fonction n'est pas obligatoire. Un DSI ou un RSSI pourraient faire d'excellents DPO, à condition toutefois qu'ils cessent d'occuper leurs fonctions de DSI ou de RSSI pour éviter tout conflit d'intérêts. A l'instar des profils assumant les fonctions de CIL, les futurs DPO peuvent être soit des juristes ayant une appétence avérée pour les systèmes d'information, soit des DSI ou RSSI sensibilisés aux aspects juridiques des données personnelles. 

Quelle est la mission d'un DPO ?

A l'instar du CIL, le DPO est à la fois le garant et le coordinateur de la conformité en matière de protection des données personnelles au sein de l'entreprise. Il est dans cette perspective chargé d'une part, d'informer et de conseiller le responsable de traitement et d'autre part, de contrôler le respect du règlement et du droit national en matière de protection des données. Il a vocation à coopérer avec la CNIL et sera le point de contact de celle-ci au sein de l'entreprise qui l'emploie. Le DPO devra faciliter l'accès par la CNIL aux documents et informations soit lors d'échanges avec cette autorité, soit lors de l'instruction d'une plainte, soit en cas de demande de précisions sur un projet en cours ou bien encore dans le cadre d'un contrôle.

Avec l'arrivée du DPO, le rôle du DSI va-t-il évoluer, si oui, comment ?

Il m'est difficile de répondre à cette question. Toutefois, l'accroissement des responsabilités assumées par le futur DPO devrait conduire les DSI à prendre l'habitude de consulter le DPO et de l'associer à leurs processus de décision. Le DSI devra impérativement se former ou, à tout le moins, être sensibilisé au cadre règlementaire des données personnelles. 

En tant que DPO, avez-vous suivi une formation spécifique ?

Je suis CIL et j'ai donc suivi à l'occasion de ma désignation les cycles de formation dispensés par la CNIL. Je dispose par ailleurs d'une solide formation de juriste à l'occasion de laquelle les fondamentaux de la loi informatique et libertés m'ont été enseignés. La CNIL devrait mettre prochainement en place des ateliers réservés aux personnes désignées DPO dans leurs organisations. 

Les DPO redoutent-ils déjà l'entrée en vigueur du GDPR, si oui, sur quels points ?

Le GDPR est à notre avis redouté par les juristes français car il s'agit pour partie de droit mou. En effet, nous sommes habitués en France à travailler avec un cadre règlementaire clair, reposant sur un principe fondamental en application duquel « tout ce qui n'est pas expressément interdit est permis. » Le GDPR s'inscrit dans une logique beaucoup plus anglo-saxonne de compliance, dont les contours sont par natures difficiles à cerner. Une des notions centrales dans le GDPR est le principe d'accountability dont l'entreprise est censée mettre en oeuvre les bonnes pratiques formalisées par une politique interne qui doit être documentée. Par ailleurs et surtout, le GDPR opère un renversement de la charge de la preuve : tout juriste sait que c'est en principe à l'accusation de rapporter la preuve de l'existence de l'infraction reprochée à l'entreprise qui l'emploie. Avec le GDPR, c'est l'inverse, et c'est l'entreprise poursuivie qui doit prouver que l'infraction qui lui est reprochée n'est pas constituée. Ce renversement est évidemment de nature à inquiéter les entreprises. Mais si elles l'envisagent comme une menace, il est également possible de voir le GDPR comme une opportunité de professionnaliser et de sécuriser davantage les usages liés à la donnée pour le bien des consommateurs mais également le bien des entreprises elles-mêmes, souvent suspectées de négliger ces sujets.



s'abonner
aux newsletters

suivez-nous

Publicité

Derniers Dossiers

2024, l'année de Windows 11

2024, l'année de Windows 11

Si le parc de PC dans les entreprises françaises fonctionne encore majoritairement sous Windows 10, Microsoft a toutefois fixé la fin de son support le 14 octobre 2025....

Publicité