L’approche de l’entrée en application du règlement européen sur la protection des données personnelles, le 25 mai 2018, s’accompagne de la nomination de milliers de Data Protection Officer, ou DPO. À l’occasion de cette évolution marquante, l’AFCDP, qui regroupe et représente les DPO, publie une charte de déontologie à leur intention.
L’association AFCDP publie ce code de bonne conduite « afin de promouvoir une culture de l’éthique parmi les Délégués à la protection des données désignés auprès de la CNIL au titre du respect des libertés et des droits fondamentaux des personnes concernées », indique-t-elle dans un communiqué. « Il est nécessaire et pertinent que la profession se dote d’une charte de déontologie, pour entretenir la confiance des organismes concernés envers ces professionnels et pour garantir la confidentialité, la qualité et le caractère intègre de leurs démarches et de leurs conseils », argumente-t-elle. La charte concerne aussi bien les DPO désignés en interne que ceux dits externes, le RGPD donnant la possibilité aux responsables de traitement et aux sous-traitants de les désigner dans le cadre d’un contrat de service.
Pour Patrick Blum, CIL-RSSI de l’Essec et vice-président de l’AFCDP en charge de la Commission Métier, « Cette charte répond au souhait des délégués à la protection des données de renforcer leur reconnaissance par une professionnalisation de leur métier. C’est un moyen de formaliser les bonnes pratiques, de les harmoniser au sein de la profession, et de les « défendre » auprès des employeurs ». L’un des premiers signataires de la charte explique d’ailleurs que « l‘étude conjointe de cette charte avant de la signer avec le PDG de notre entreprise est un exercice très utile, car elle permet de revoir avec son responsable de traitement les objectifs et contours de la mission de DPO ».
L’association met en avant que le charte est bénéfique aux responsables de traitements et aux sous-traitants, car elle leur permet de savoir ce qu’ils peuvent attendre de leurs relations avec les professionnels, mais aussi du concours qu’ils doivent leur apporter afin de participer du succès de leur fonction et de leurs missions. Elle les appelle donc à signer également ce code de bonne conduite.
A quoi s’engagent les signataires ?
En signant le document, le DPO s’engage, par exemple, à accepter une désignation uniquement s’il se juge compétent pour le faire, ce qui signifie qu’il dispose des connaissances et des ressources nécessaires afin d’exercer la fonction dans les meilleures conditions possibles. Il s’engage également à « nouer des contacts avec ses confrères pour favoriser les échanges d’expériences et la mise en commun des meilleures pratiques et à s’investir dans la transmission de leur expertise auprès de stagiaires ou apprentis qu’ils pourraient accompagner ».
Concernant la relation entre le Délégué à la protection des données et le responsable de traitement/sous-traitant, la charte indique qu’elle est fondée « sur la confiance et la franchise et exige que la démarche du professionnel soit intègre, honnête, fidèle et diligente ».
La charte prévoit également la fin de mission : « Le responsable de traitement/sous-traitant veille à ce que le DPO interne poursuive une carrière normale au sein de l’organisme une fois sa mission terminée ».
La charte est accessible librement sur le site de l’AFCDP, sans qu’il soit nécessaire d’être membre de l’association.
