Une plate-forme d’échange – échange de (bonnes) pratiques, d’informations, de conseils, d’expériences – entre responsables DPO (data protection officers), responsables Vie privée, et autres professionnels impliqués dans le traitement de données privées – vient de voir le jour.
DPO-Connect a officiellement été porté sur les fonds baptismaux ce 21 septembre. La plate-forme est le fruit d’une collaboration entre l’APD (Autorité de Protection des Données, l’ancienne Commission Vie privée), DPO-Pro, l’union professionnelle des Délégués à la protection des données, et le groupe de recherche Droit, science, technologie et société (LSTS) de la VUB.
Outre sa fonction de réseautage et d’échanges, elle servira aussi de relais direct (ou se propose en tout cas de l’être) vers l’APD (Autorité de Protection des Données, l’ancienne Commission Vie privée). Histoire de mieux faire entendre la réalité de terrain ? Ou d’inciter davantage les entreprises (de toutes tailles) à faire preuve de davantage de transparence et de collaboration avec leurs pairs ?
L’idée en avait en tout cas été défendue par l’APD elle-même, voici quelques mois, estimant que ce réseau d’échange serait utile afin de “collecter, filtrer, organiser et partager connaissances et informations sur la mise en œuvre du RGPD”. Un RGPD qui n’en a pas fini de donner des sueurs froides et de peupler maintes nuits blanches.
Justification de ce lancement? La FEB le résumait comme suit: “La complexité du RGPD et de sa mise en œuvre dans les entreprises, l’isolement des DPO notamment lié à la nouveauté de la fonction et à l’absence de contacts directs avec l’APD rendaient indispensables la mise en place d’un tel outil.”
Qu’y trouve-t-on?
La plate-forme DPO Connect inclura un “mur” en guise de page d’accueil (actus, nouveautés, enquêtes, événements…), une bibliothèque de ressources et documents, un FAQ, un forum d’échanges face aux interrogations des DPO et autres professionnels concernés, ou encore un espace de sollicitation d’avis d’experts (en mode “hotline”).
Les personnes qui s’inscriront afin de pouvoir accéder à la plate-forme auront en outre la possibilité de programmer la fréquence d’alertes qu’ils désirent recevoir (instantanées en temps réel, à espaces réguliers…) lors de l’ajout de certains contenus ou éléments.
A terme, la plate-forme pourrait s’enrichir de “groupes” thématiques (par exemple, service public, santé, marketing direct, ressources humaines…) pour des échanges plus spécifiques selon les spécificités du “métier” ou du contexte.
Ce cénacle pourra opérer, comme le soulignait David Stevens, président de l’APD, lors du lancement officiel de la plate-forme, comme un espace “favorisant l’apprentissage par la demande, via des échanges directs entre DPO et professionnels de la privacy, en dehors de toute présence ou intervention de l’APD.” En effet, et c’est important de le préciser, l’APD est certes partie prenante au projet mais ne sera pas présente sur la plate-forme, afin de garantir la confidentialité des échanges.
Mais la deuxième finalité de DPO-Connect sera aussi, comme mentionné ci-dessus, de permettre une communication plus directe et efficace vers cette même APD. Et, en la matière, Stevens reconnaissait que “la distance entre l’APD et les DPO est sans doute devenue encore plus grande que du temps de la Commission Vie Privée. Le but sera de réduire cette distance, de faciliter la communication entre ces deux parties et, dans certains cas, de mieux expliquer certaines décisions prises par l’APD.”
Il prenait l’exemple récent d’une décision prise au sujet de l’indépendance des DPO. “Quel n’a pas été notre étonnement lorsque nous avons constaté que cette décision avait été interprétée comme étant l’exigence d’une externalisation du DPO, sans quoi il ne serait pas jugé suffisamment indépendant ! Bien au contraire, le fait de disposer, en interne, d’un DPO présente également d’importants avantages… La plate-forme [DPO-Connect] doit dès lors nous permettre de battre en brèche certains malentendus ou perceptions erronées.”
David Stevens (APD): “Mettre en place une communication plus structurée avec l’APD en vue de servir d’orientation pour des cas qui ne sont pas spécifiques à une entreprise mais qui intéressent l’ensemble d’un secteur professionnel ou industriel.”
Il soulignait, au cas où certains y placeraient trop d’espoirs, que DPO-Connect n’a pas pour vocation de résoudre tous les problèmes ou défis se posant à un DPO, pas plus que la plate-forme ne soulagera le DPO de ses responsabilités. “Ce sera plutôt un système de notification, de signalement de problèmes qui se posent de manière transversale.” Problèmes liés au respect de la vie privée, au RGPD, à ses modalités d’application (au niveau trans-entreprise donc) mais aussi problèmes au niveau des processus et “outils” mis à disposition par l’APD.
Les attentes des DPO
En amont du lancement du projet DPO-Connect, le groupe de recherche LSTS (Law, Science, Technology & Society) de la VUB avait réalisé une étude en vue de mieux comprendre comment le RGPD est accueilli et vécu sur le terrain, en quoi d’autres pays ou autorités étrangères de protection de la vie privée peuvent servir de sources d’inspiration pour les bonnes pratiques à adopter. Le but de l’étude était aussi de collecter les besoins et attentes des DPO par rapport à une plate-forme telle que DPO-Connect, ainsi que les difficultés que représentent pour eux la mise en oeuvre du RGPD ou les interactions avec l’APD, les problématiques rencontrées par les DPO dans le cadre de leur travail, leurs sources d’informations…
Lors du lancement de la plate-forme DPO Connect, René Mahieu, doctorat à la VUB, a pointé certains des enseignements apportés par l’étude. Citons par exemple, dans le registre des interactions (ou communications) possibles avec l’APD, les réponses données par les quelque 80 professionnels (venus tant du secteur public que prévu) ayant participé à l’étude ont pointé des perceptions fort variables. Certains estimaient que les contacts étaient “bons” mais d’autres – et ils étaient tout aussi nombreux – les taxaient de “piètres”, de “vagues ou manquant de pragmatisme”. Voire de… non-existants (réponses aux abonnés absents).
Un point positif toutefois dans leur évaluation du rôle de l’APD: son rôle comme source d’information.
Découvrez-nous sur Facebook
Suivez-nous sur Twitter
Retrouvez-nous sur LinkedIn
Régional-IT est affilié au portail d’infos Tribu Médias.