Le mardi 12 mars 2013, l'Association française des correspondants à la protection des données à caractère personnel (AFCDP) organisait à Luxembourg une conférence dédiée à la protection des données personnelles. Cette conférence a été l’occasion de réunir les membres luxembourgeois de l’AFCDP. Les DPO, ou data protection officers, comme se nomment eux-mêmes les personnes en charge de la protection des données dans les entreprises et qui y ont une position statutaire indépendante octroyée par la loi européenne et nationale, ont débattu de l’évolution de leur métier, surtout en vue du règlement européen qui définira un nouveau cadre général de l’UE pour la protection des données. Ce règlement changera, malgré les questions qui ne sont pas encore résolues, de fond en comble les donnes du métier.
Il est ressorti de ces débats entre DPO qu’un des problèmes ressentis par les DPO est que leur métier est mal compris voire ignoré par les décideurs économiques, à l’instar de ce qui arrive aux responsables de la sécurité informatique, les RSSI. Les DPO sont perçus comme des empêcheurs de tourner en rond, et le métier de RSSI est perçu comme mineur, peu reconnu, sauf quand un grand problème de sécurité informatique se pose, et il peut se poser dans les plus grandes entreprises. D’autre part, le constat a été dressé qu’il n’y pas une seule entreprise qui est à 100 % en conformité avec les lois sur la protection des données et la sécurité informatique. Un grand changement de mentalité s’impose donc.
Une des interventions a fait le point sur le règlement européen. Il s’agissait en fait d’une véritable initiation des participants au processus législatif, notamment au Parlement européen. La conférencière a expliqué ce qu’est le rapport principal, et pourquoi dans le cas de figure du règlement européen sur la protection des données, c’est la commission des libertés civiles (LIBE) qui en est chargé, avec pour rapporteur l’eurodéputé vert Jan-Philipp Albrecht qui a déjà rédigé un premier projet. Elle a fait le point sur les avis en cours de rédaction dans les commissions des affaires juridiques (JUR), emploi (EMPL), industrie et transports (ITRE) (voir notre article de février 2013) et marché intérieur et commerce (IMCO), qui ont des avis très différents entre elles sur des questions bien précises comme le seuil à partir duquel une entreprise est tenue d’engager un responsable de la protection des données ou de notifier certaines violations de la protection des données. Selon la conférencière, l’agenda idéal serait le suivant : le vote à la commission LIBE interviendrait avant le 27 avril, et la position du Conseil serait déterminée avant la fin de la présidence irlandaise le 30 juin 2013. Le trilogue Commission-Parlement européen-Conseil se déroulerait en automne et le vote en plénière fin 2013. Le règlement européen pourrait alors entrer en vigueur début 2016.
Les grands enjeux sont pour les DPO la définition même de leur métier et surtout l’idée du guichet unique ou "one-shop-stop". Cette règle veut que ce soit l’autorité nationale de protection des données du pays où une entreprise a son siège central qui est responsable de la coordination de toutes les affaires concernant cette entreprise. Donc, si une firme qui a son siège en Suède est l’objet d’un litige qui concerne sa filiale au Luxembourg, le plaignant qui s’estime lésé au Luxembourg doit s’adresser à l’autorité suédoise qui est compétente, ce qui pourra se faire par l’entremise de l’autorité nationale luxembourgeoise qui conserverait un droit de regard sur le suivi sur les questions qui se sont posés dans son pays.
La question se pose ici de savoir si l’on peut avoir confiance. N’y a-t-il pas de risque que les autorités nationales laissent aller les affaires faute de moyens, et que par là elles perdent de l’influence ? N’y a-t-il pas le risque qu’il y ait une grande incompréhension des cas transfrontaliers dont les autorités nationales sont saisies, dans la mesure où les cultures d’entreprise diffèrent fortement, par exemple entre un pays comme le Luxembourg où le secret professionnel est cultivé et d’autres qui misent sur la transparence ?
Un autre cas de figure peut se poser quand le droit du travail est concerné, et que les dispositions nationales sur ce qui est licite ou illicite dans la manière de surveiller les salariés divergent.
Autre question : si une grande banque au Luxembourg fait partie d’un grand groupe international qui a par exemple son siège en France, quel DPO est responsable, faut-il un DPO au Luxembourg ? Des voix plaident pour que l’on distingue dans les grands groupes internationaux qui offrent des services universaux entre types d’activité, leur localisation et donc entre types de traitement de données.
Un constat a été dressé : l’autorité nationale saisie peut être bien plus éloignée du terrain qu’actuellement. Difficile d’avoir une règle unique dans l’UE pour savoir à qui s’adresser, mais il en faut selon tous les intervenants.
Le règlement européen changera de toute façon la notion de responsabilité du DPO et mènera vers une approche plus systémique de l’usage des données. Le DPO aura des fonctions de conseil et de vérification auprès de son entreprise, il sera mieux protégé par son mandat et il pourra étendre ses fonctions de conseil et de vérification aux sous-traitants, quelque soit leur taille, car en intervenant dans une grande entreprise, les sous-traitants aussi y prennent une responsabilité. Du point de vue du risque pris par l’entreprise, cette responsabilisation du sous-traitant qui pourra être mise en avant constituera à terme, tout comme la fluidification des affaires, un double avantage concurrentiel pour les entreprises qui s’adapteront rapidement. Ce fut une des conclusions d’un débat entre professionnels qui a surtout révélé l’ampleur de l’européanisation de ce type d’échanges et de réflexion sur des pratiques professionnelles dans des domaines stratégiques nouveaux.