Interview
Xavier Leclerc,
Soc. Experian et Délégué Général de l’AFCDP(*)
L’Association Française des Correspondants à la protection des Données à caractère Personnel
En quoi consiste exactement le rôle du correspondant à la protection des données ?
Il n’y a pas de véritable définition de ce que sera précisément le rôle des futurs correspondants à la protection des données (CDP), cette disposition de la loi du 6 août 2004 (modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) nécessitant des précisions par décret. En revanche, il m’est possible de le comparer à la fonction de Délégué à la protection des données, qui est la mienne depuis 3 ans au sein de la direction juridique d’Experian en France. En effet, le CDP ne devra pas se limiter à « assurer le respect des obligations prévues dans la loi » et à tenir « une liste des traitements effectués » ; il devra aussi entretenir et développer les relations avec la CNIL, se tenir informé en permanence de l’évolution de la législation, faciliter la mise en œuvre de nouveaux services et produits dans le cadre légal, tout en maîtrisant les facteurs d’exposition aux risques et avoir un sens profond de l’éthique. Il doit aussi apparaître comme un atout de différenciation concurrentiel par la maîtrise d’une compétence et d’un savoir-faire. Ce qui doit le caractériser en définitive, c’est son interdisciplinarité et sa capacité à appréhender les problèmes de vie privée sous tous leurs aspects (techniques, juridiques, marketing) pour résoudre au mieux les problèmes qui lui sont posés. Pour l’entreprise, le respect de la légalité n’est jamais une option mais toujours un impératif. Chez Experian, la protection de telles données est commercialement stratégique et fait partie intégrante de la culture d’entreprise.
Comment est née l’idée de créer l’Association Française des CDP ?
Il paraissait logique au regard de la directive 95/46/CE mais également de la circulaire du 12 mars 1993, que la France suivrait les exemples allemands ou suédois en matière de CDP. Il semblait alors intéressant que les personnes qui sont déjà, à temps plein ou partiel, des professionnels de la protection des données, commencent à structurer leur nouvelle profession, formulent des recommandations concrètes et ainsi construisent le cadre dans lequel s’exercera leur mission. L’association a pour objet de promouvoir et développer une réflexion quant aux statuts et aux missions des correspondants à la protection des données à caractère personnel. Dans le détail, elle aura de nombreuses missions parmi lesquelles celles de favoriser le concertation avec les entreprises, d’informer et de sensibiliser toute personne physique ou morale et favoriser les meilleures pratiques professionnelles. Elle a également pour ambition de favoriser toutes relations avec la CNIL et de défendre les intérêts de la profession et/ou de la fonction auprès des pouvoirs publics.
Quelles recommandations feriez-vous aux entreprises qui souhaitent recourir à un CDP ?
La seule « dispense » de déclaration auprès de la CNIL ne peut suffire à entériner cette fonction au sein de l’entreprise, et plus encore au sein des PME. Il faut responsabiliser cette fonction. Que le CDP soit l’interlocuteur de la CNIL, il agit au nom de l’entreprise, dans le but de la servir tout en respectant la légalité. Je me tournerais donc volontiers vers le législateur : à lui de juger de la pertinence et de l’efficacité d’une incitation à désigner un CDP au sein des entreprises ! La clé réside sans doute dans l’instauration d’un véritable dialogue avec la CNIL afin que, selon les termes mêmes de son Président, « l’allégement des formalités libère les énergies 1» … mais pas uniquement celles de la Commission !
Note
Interview France Soir n°4722 du 22/07/04.
Interview réalisée par Isabelle Pottier
isabelle-pottier@alain-bensoussan.com
Paru dans la JTIT n°33/2004 p.10