« L’AFCDP étant au plus proche des préoccupations quotidiennes des DPO, l’association propose avec ce Baromètre de prendre un peu de recul sur 3 questions clés par trimestre : le sentiment de l’évolution de la conformité des organisations, une question technique et une question d’actualité. Avec 274 répondants, nous sommes heureux de partager à nouveau ces résultats et d’en étudier l’évolution. », commente Paul-Olivier Gibert, Président de l’AFCDP.

Avez-vous confiance dans la protection des données privées au sein de vos organisations ?

L’association constate une baisse significative du nombre de DPO qui considèrent qu’il y a encore du chemin à faire avant de considérer que les données de leur organisation sont bien protégées (37% vs 53% en mai 2023). Par contre, les réglementations changeantes (DMA, DSA, DA, Privacy Shield/DPF, Cookies Wall, etc.) semblent plus perturber les stratégies de protection des données personnelles mises en place, pour 20% des DPO répondants (vs 10% des répondants en mai 2023). Peut-être est-ce dû aux débats autour du DMA et du Data Privacy Framework (DPF) ? À noter, le nombre de répondants ayant le sentiment d’avoir une stratégie de protection des données qui s’adapte, et se sentant écoutés, reste stable (37% vs 35% en mai 2023).

"Il est manifeste que la série de mesures, règlements et lois actuellement en cours pour assurer une meilleure protection des données personnelles aux Français et aux Européens va chambouler les stratégies mises en place dans nos organisations. Et les DPO sont en première ligne et anticipent déjà les évolutions à bientôt mettre en place.", commente Paul-Olivier Gibert, Président de l’AFCDP.

Que pensez-vous du Data Privacy Framework (DPF - accord USA-Europe) ?

Succédant au Privacy Shield, le nouveau système d’échange de données entre les États-Unis et l’Europe, appelé "Data Privacy Framework" (DPF) ou "Trans-Atlantic Data Privacy Framework", a officiellement été signé le 10 juillet dernier par la Commission Européenne qui y travaillait avec les Etats-Unis depuis 2022.

Les responsables de traitements et leurs DPO, membres de l’AFCDP, appellent de leurs vœux la mise en œuvre d’un cadre stable pour la régulation des transferts de données avec les États-Unis depuis la chute du Privacy Shield. Ils ont accueilli le DPF avec soulagement après les mois d’incertitude, mais il est évident au vu des chiffres du Baromètre que très majoritairement, l’accord ne fait pas l’unanimité avec 50% des répondants qui considèrent que l’accord actuel ne résout pas le problème, et 33% qui le considère comme fragile.

" L’AFCDP avait manifesté sa crainte que le DPF ne soit à nouveau l’objet d’une remise en cause, tant sa mise en place a été l’objet de réticences, en particulier de la part des autorités de contrôle, homologues de la CNIL, réunies au sein du CEPD/EDPB, mais aussi du Parlement européen. Si une telle remise en cause était prévisible de la part de Noyb, l’association de Max Schrems, il fallait néanmoins s’attendre à ce qu’elle n’intervienne qu’après un long délai d’analyse, comme ce fut le cas pour les précédentes actions envers le « Safe Harbor » puis le « Privacy Shield ». La récente démarche de Philippe Latombe permet d’avoir un retour rapide sur la conformité du DPF, et savoir si les organisations vont pouvoir s’appuyer dessus." commente Paul-Olivier Gibert.

L’AFCDP rappelle que contrairement aux autres accords d’adéquation adoptés à l’égard d’États non européens, le DPF ne garantit pas la conformité globale des traitements effectués aux États-Unis : il ne concerne que les entreprises, et uniquement celles qui s’engagent dans la procédure d’auto-certification.

Selon vous, la fonction RSE (Responsabilité Sociétale des Entreprises) :

Bien que la fonction DPO et le département RSE aient des responsabilités distinctes, 58% des répondants estiment bénéfique pour une entreprise de faciliter la communication et la collaboration entre ces deux domaines pour garantir une gestion responsable et conforme des données personnelles dans le cadre des initiatives RSE. L’association constate que les DPO sont enclins à casser les silos avec les départements RSE pour consolider l’ambition d’une entreprise responsable.

"L’intégration de la protection des données personnelles dans les initiatives RSE peut être considérée comme une pratique responsable et éthique. Il est important de s’assurer que ces données sont traitées conformément aux réglementations de protection des données et que la vie privée des individus est respectée." rappelle Paul-Olivier Gibert.

Méthodologie

Dans le cadre de son Baromètre trimestriel, l’AFCDP a mené une enquête en ligne auprès de ses 6000 membres entre le 28 août et le 18 septembre 2023, via le réseau social privé de l’association (274 répondants) et sa page LinkedIn (341 répondants).