EXPERTISE. Protection des données en Polynésie et Nouvelle-Calédonie : Le « Data Protection Officer » à la croisée des chemins

EXPERTISE. Protection des données en Polynésie et Nouvelle-Calédonie : Le « Data Protection Officer » à la croisée des chemins

Tous deux experts en protection des données, Laura Murias-Bohot et Youcef Dammane font un état des lieux de la protection des données en Polynésie française et en Nouvelle-Calédonie. Ils relèvent des « chiffres encourageants mais encore insuffisants au regard de l’exploitation toujours plus croissante des données personnelles et de la multiplication de cyberattaques quasi quotidienne ». « La mise en conformité RGPD doit rester un chantier prioritaire pour l’ensemble des organismes privés et publics en Polynésie et Nouvelle-Calédonie ». 

Aujourd’hui, sur les plus 70 000 organismes ayant déclarés un délégué à la protection des données auprès de la CNIL, seulement 213 (soit 0,34%) sont issus de Nouvelle-Calédonie (171) et de Polynésie (68) pour une population additionnée approximativement équivalente à Lyon, qui en compte pour sa part plus de 849.

Cette comparaison est néanmoins à relativiser par le statut particulier de la Polynésie française et de la Nouvelle-Calédonie où l’entrée en vigueur du Règlement Européen pour la Protection des Données (RGPD) n’est intervenue qu’au 1er juin 2019, soit plus d’un an après la métropole et les autres collectivités d’Outre-Mer.

Ces chiffres pour le bassin pacifique sont encourageants mais restent encore insuffisants au regard de l’exploitation toujours plus croissante des données personnelles et de la multiplication de cyberattaques quasi quotidienne qui tentent d’exploiter les vulnérabilités des dispositifs de sécurité et ainsi mettre à mal la protection des données.

Qu’ils s’agissent de la faille de sécurité qu’a connu la Polynésie en 2019 ayant rendu temporairement accessibles les données de 130 000 gendarmes ou l’importante vague actuelle de phishing que connait la Nouvelle-Calédonie, l’enjeu est de taille pour assurer et sécuriser la protection des données personnelles.

Aujourd’hui, toutes les structures qui traitent des données personnelles ont forcément entendu parler du RGPD et par conséquence du DPO (Data Protection Officer), en charge du respect de la législation sur la protection des données.

L’ensemble des organismes privés ou publics en Polynésie et Nouvelle-Calédonie sur le chemin de la mise en conformité au RGPD 

La désignation d’un DPO étant un indicateur déterminant dans la maturité des organisations et de leur projet de mise en conformité au RGPD, le faible nombre de DPO sur ces territoires pourrait laisser croire que les travaux de mise en conformité ne sont pas tout à fait finalisés ou pas encore initiés.

En effet, d’après le guide de préparation au RGPD de la CNIL, qui est l’autorité de contrôle en matière de protection des données, la première étape est de définir une gouvernance et de désigner un pilote qui agira tel un réel chef d’orchestre et qui exercera les missions d’information, de conseil et de contrôle en interne.

Il est vrai que selon le RGPD, la désignation d’un DPO n’est obligatoire que dans certains cas, lorsqu’il s’agit d’un établissement public, lorsque l’activité de base exige un suivi régulier et systématique à grande échelle des personnes concernées, et lorsque l’activité de base consiste dans des traitements à grande échelle de données sensibles.

Cependant, en pratique et comme cela est recommandé par ailleurs par l’autorité de contrôle, beaucoup d’organisations désignent un DPO sans y être obligées par le RGPD, gage de confiance, d’investissement et de maturité dans la mise en conformité.

Avec la multiplication des contrôles et donc potentiellement des sanctions, la mise en conformité RGPD doit rester un chantier prioritaire pour l’ensemble des organismes privés et publics en Polynésie et Nouvelle-Calédonie.

Au regard du contexte particulier de la Polynésie française et de la Nouvelle-Calédonie, la montée en compétences des acteurs notamment via l’accès à des formations DPO de qualité et reconnues est compliqué. En effet, peu de formations sont actuellement disponibles sur les territoires et l’éloignement géographique rend l’accès à distance difficile.

Le manque de ressources ou d’expertise peut rendre complexe la mise en conformité et la désignation du DPO en interne. Fort heureusement, le RGPD prévoit explicitement la possibilité pour les organismes de désigner un DPO externe.

Le recours à un DPO externe, lié à son donneur d’ordres par une convention de services, réduit de facto les risques de conflits d’intérêts et permet de recourir à un professionnel disposant des compétences et expériences nécessaires. Expert de la protection des données, ce prestataire (consultant, avocat…) devra disposer des moyens humains et techniques (juridiques, informatiques, métiers…) et de la disponibilité nécessaire pour adapter son expérience acquise aux spécificités de son donneur d’ordres.

Obligatoire ou non, disposer d’un DPO professionnel et légitime est la meilleure façon d’assurer une mise en conformité RGPD et ainsi d’éviter les sanctions et les risques d’image. La désignation d’un DPO est le signe d’un investissement en termes de respect de la vie privée, c’est un gage de confiance pour l’ensemble des acteurs.

Youcef Dammane, Directeur en protection des données chez TNP Consultants

Laura Murias-Bohot, Consultante en protection des données chez TNP Consultants

IMG_7586