Je suis “tombé dans la marmite” de la conformité en 2003, au moment où la France transposait ce qui allait devenir la Loi pour la Confiance Numérique (LCEN). C’est à l’occasion de la rédaction de mon livre “Halte au spam” que j’ai découvert un univers qui marie des aspects très variés : juridiques, techniques, humains, sociétaux. Cette transversalité m’a parue passionnante, et c’est l’un des attraits du métier de Délégué à la Protection des Données.

Venant du monde du réseau informatique (j’ai créé en France le marché de la QoS – Qualité de Service), j’ai donc opéré une reconversion dans ce domaine prometteur, à une époque où le sujet était encore confidentiel.

Je suis l’un des tous premiers membres de l’AFCDP, dont j’ai été le Délégué général pendant de longues années, ce qui m’a donné l’occasion de créer l’Université des DPO, l’Index AFCDP du droit d’accès, la Charte de déontologie du DPO ou encore le Job board du DPO. Il me semble aussi avoir fait œuvre de pionnier en France sur des sujets tels que l’anonymisation de données ou l’analyse de conformité des zones de libre commentaire sur base de Sentiment analysis (Opinion mining).

J’ai été désigné CIL dès 2006 et je suis DPO mutualisé pour l’une des branches de la Sécurité sociale.

Je suis les co-auteurs de plusieurs ouvrages dans ce domaine et je forme les professionnels de la conformité depuis 2007, tant au niveau du mastère spécialisé que de formations courtes. Me frotter aux nouveaux confrères – qui présentent un niveau toujours plus élevé chaque année – est un défi vivifiant !

J’ai créé il y a une dizaine d’années un “Kit de survie technique pour juristes” après avoir observé les difficultés dans lesquelles se trouvaient mes consœurs et confrères qui n’avaient pas un niveau de connaissances minimales dans le domaine informatique. C’était déjà rédhibitoire avant le RGPD, mais comment imaginer qu’un DPO puisse assumer ses missions sans ce bagage, notamment quand il est question de Security by Design, d’analyses d’impact ou de violation de données ?

Enfin, en 2020, ayant une formation initiale d’électronicien d’aéronautique (acquise au sein de l’Aéronavale au début des années 1980), j’ai obtenu le grade de Mastère Spécialisé par VAE.

Lors du premier projet, je demande aux participants de “vivre” le droit d’accès RGPD du côté du demandeur, afin qu’ils puissent se rendre compte par eux même de la façon dont les responsables de traitement gèrent ce type de demande.

Dans un second temps, ils sont invités à se mettre dans leur futur rôle de DPO et d’imaginer ce qu’ils doivent mettre en place au sein de l’organisme qui les a désigné afin que celui-ci ne commette pas les différentes non-conformités dont ils ont été les “victimes” en tant que personnes concernées. Naturellement, j’attends d’eux également une réflexion sur la genèse du droit, sur les éventuelles améliorations qui pourraient y être apportées et sur une comparaison critique avec ce que font d’autres pays : certains d’entre eux sont dépourvus du droit d’accès – est-ce à dire que la vie privée n’y est pas protégée ?

Le second projet est l’occasion de réfléchir à la façon de tenir un registre des traitements et de répondre à mille questions opérationnelles : quelle est la meilleure méthode pour recenser les traitements devant y figurer ? Quelles informations y porter – uniquement celles prévues par le RGPD ? Par quel processus un traitement aboutit-il dans un registre ? Et qui peut y accéder ? Peut-on faire figurer dans le registre un traitement dont la conformité n’est pas encore acquise ? Et quelle “granularité” retenir : doit-on chercher à avoir le moins de fiches registre possible ? Quels liens entre registre et PIA, violations de données, indicateurs et tableaux de bord, voire bilan annuel du DPO ? Un registre tenu par un DPO externe est-il différent de celui tenu par un DPO interne ? Et quid du registre sous-traitant ou en situation de responsabilité conjointe ?

Dans ces deux projets, je leur demande également de se forger leur propre doctrine : ils soutiennent devant un jury de professionnels aguerris qu’ils doivent essayer de convaincre que c’est LEUR façon de gérer les demandes de droit d’accès ou de tenir un registre des traitements qui est la bonne… C’est toujours un moment passionnant et très enrichissant – aussi bien pour les étudiants que pour les membres du jury. Il ne faut pas oublier que les praticiens comme moi qui interviennent dans le cursus considèrent les participants comme de futurs confrères… et peut-être, qui sait, comme de futurs collègues ou collaborateurs.

Tout d’abord, cela donne une “colonne vertébrale” au futur DPO, qui ne répète pas mécaniquement ce que font ses pairs mais se forge sa propre opinion, sa propre doctrine. Il existe plusieurs façons d’arriver au même résultat, et il est crucial pour le DPO de trouver celle qui lui convient le mieux et qui correspond au contexte.

De plus, ces projets sont l’occasion pour les participants d’aller jusqu’à l’opérationnel.

Concernant la gestion des demandes de droit d’accès, la plupart vont jusqu’à formaliser une procédure, des lettres types, des supports de formation : bref, ils travaillent pour eux en ce sens qu’ils sont en mesure d’utiliser les fruits de leur travail dès leur prise de poste. De même, le projet portant sur la tenue du registre permet de se poser des questions sur l’outillage. Une participante de l’une des premières promotions – aujourd’hui DPO d’une Région – avait indiqué à la fin de ce projet avoir enfin compris pourquoi elle était si gênée par l’outil dont elle avait hérité de son prédécesseur. Elle en a immédiatement changé. En effet, trop souvent, les DPO s’obligent à entrer dans le carcan d’un outil, alors que c’est l’inverse qui devrait s’imposer. Le projet permet donc aux participants de déterminer les caractéristiques de l’outil propres à répondre à leur façon de concevoir leur registre, et même de rédiger leur futur appel d’offres.