Pour en savoir un peu plus sur le métier de DPO et les différents règlements sur la vie privée, nous avons rencontré Mathieu Candes, expert du RGPD qui connait aussi bien le métier de juriste que celui de DPO. Intervenant dans la région Occitanie (Montpellier et Toulouse principalement), vous pouvez retrouver son profil sur lacartedesdpo.fr.

Bonjour, pouvez-vous vous présenter s’il vous plaît ?

Je m’appelle Mathieu Candes, je suis juriste de formation. J’ai fait un master 2 en Droit des Nouvelles Technologies. C’est vraiment lors de mes stages et du début de ma vie professionnelle que je me suis spécialisé dans le domaine des données personnelles. Au départ, j’hésitais entre une spécialisation dans la propriété intellectuelle ou les nouvelles technologies. Petit à petit, dans mes dernières années d’études, j’ai vraiment vu l’opportunité arriver : le RGPD qui n’était qu’un « projet européen » à l’époque. J’ai vu tout cela grossir, prendre de l’ampleur, et j’ai alors compris que ça serait une belle opportunité de travailler dans ce domaine. J’ai ce gros avantage d’avoir été formé sur l’ancienne Loi Informatique et Liberté, de m’être formé en autodidacte sur le RGPD au cours des trois années passées et d’avoir gagné ainsi un peu d’avance par rapport à de nombreux professionnels qui auraient loupé ce tournant, à l’image de ce que l’on a pu retrouver avec la réforme du droit des contrats de 2016.

La protection des données personnelles était-elle une matière populaire au sein de votre promotion universitaire ?

Oui. On était très sensibilisés aux questions posées par le respect de la vie privée, bien que très peu de cours abordés le sujet. Le gros problème quand on est juristes dans ce domaine, c’est qu’on est très peu formés à la pratique. On est trop théoriciens et on nous le reproche beaucoup au départ. C’est vraiment le début de carrière qui fait qu’on acquiert des compétences supplémentaires.

J’ai fait un stage au sein du cabinet d’avocat Altij. Ensuite, je suis parti chez ActeCil pendant 1 an à Paris. J’ai ensuite été rappelé par le cabinet Altij, où je travaille la moitié de mon temps, ce qui me laisse alors l’opportunité de m’impliquer sur le projet de Quid IA.

Je suis arrivé dans l’équipe au moment du lancement du produit de notre Legaltech qui a pour but de faciliter la vie de nos clients dans leur mise en conformité. Nous sommes en train d’élaborer une offre à la fois juridique et technique, car souvent les offres restent focalisées sur un seul de ces deux domaines. Il ne faut pas non plus oublier l’aspect organisationnel car dans l’approche du RGPD, ce qui est tout aussi important, c’est l’Humain. Et pourtant, c’est souvent le point le plus négligé, malgré le fait que la prise en compte de l’Humain soit l’un des plus gros facteurs de réussite de la prise en charge du RGPD au sein d’une organisation.

L’offre de Quid IA, elle consiste en quoi ?

Elle est composée tout d’abord d’une offre de diagnostic pour voir où en est l’organisme dans sa mise en conformité au RGPD. C’est également une de mes fonctions au sein du cabinet Altij, avec une approche strictement juridique. Chez Quid IA, on va mélanger les compétences. Frédéric, le gérant de Quid IA, s’occupera de l’aspect technique tandis que je m’intéresserai au juridique et à l’organisationnel. Nous profitons également d’avoir en back up le cabinet Altij pour la rédaction de la documentation juridique. En complément de cette mission de diagnostic, nous proposons en plus une fonction de DPO externe et de suivi de la conformité.

Une collaboration entre les différents corps de compétences de l’entreprise est-elle aussi nécessaire pour que la mise en conformité soit menée à bien ?

Oui, trop souvent, on ne va présenter que l’aspect juridique ou que l’aspect technique et c’est bien dommage. Sur la partie juridique, le RGPD va aussi être une opportunité pour voir où en est l’organisme quant à ses pratiques en droit du travail ou vis-à-vis du e-commerce, de la prospection ou du marketing. Bien souvent, la plupart des entreprises n’étaient pas du tout conformes à la loi Informatique et Liberté et au 25 mai et l’étaient alors encore moins conformes au RGPD.

« Cela engendre souvent un vent de panique chez les entrepreneurs. »

Ils se disent qu’ils ne leur restent plus qu’à détruire l’entièreté de leurs bases de données, alors que pas du tout ! Il faut les rassurer, les informer, leur dire comment tout ceci fonctionne réellement et ce qu’il est possible de faire pour les préserver et ne pas avoir à tout détruire.

Le fait de travailler entre les corps de compétence des entreprises, c’est quelque chose de nouveau ?

Justement, je trouve que ça s’accorde bien au regard que l’on porte à la nouvelle génération d’actifs, qui souhaite revoir complètement la communication interne afin qu’elle tende à devenir horizontale et non pyramidale.

« Avec le RGPD, il y a vraiment un besoin d’une communication solide. »

Par exemple, le DPO (comme le CIL auparavant) doit toujours être joignable. Le DPO doit être capable de se tourner vers n’importe quel service pour voir quelles en sont les pratiques. Il y a donc une exigence de transparence supplémentaire qui n’existait pas auparavant dans les entreprises.

On a vu que le métier de DPO avait explosé très vite alors qu’il n’y avait que très peu de CIL. Pensez-vous qu’il a un enjeu derrière ?

Je pense que l’importance des sanctions du RGPD aide. Mais contrairement à ce que l’on pourrait penser, c’est loin d’être le seul.

« Le RGPD, c’est vraiment un « tout ». »

C’est le fait de se dire que, si on a un contrôle de la CNIL qui engendre une sanction mineure, c’est vraiment l’atteinte à l’image qui va venir poser problème à l’entreprise. De même, le RGPD touche toutes les organisations, privées et publiques. Les organismes publics réagissent de manière semblable à ces nouvelles problématiques que les organismes privés. J’ai même trouvé lors de mes missions qu’il y avait encore davantage de travail dans les organismes publics puisqu’on retrouvait souvent des personnes qui étaient là depuis plusieurs décennies, qui pouvaient avoir pris des habitudes qu’elles ne souhaitaient absolument pas changer. Il a donc fallu les convaincre personnellement, pour ensuite leur expliquer comment mettre en œuvre les nouveautés du RGPD.

L’autre facteur qui rend la mise en conformité plus difficile pour les organismes publics, c’est le manque de budget. On l’a vu, lors des débats sur la loi Informatique et Libertés, pour octroyer des dotations aux collectivités territoriales. Le Sénat voulait les voter et pas l’Assemblée Nationale. C’était intéressant de voir cette volonté des Sénateurs, qui ont une vision plus proche des problématiques réellement rencontrées sur les territoires. Le manque de moyen en est une. Bien souvent, pour limiter les dépenses des collectivités, les missions de sociétés comme les nôtres ne vont pas aller plus loin que le diagnostic et l’établissement d’un plan d’action, laissant alors les agents seuls dans la mise en application des recommandations.

Tu penses que, malgré tout, il y a un marché pour Quid IA sur les marchés publics ?

Oui, je pense qu’il y a un marché pour tous les types d’organismes. C’est vrai qu’il y aura toujours plus de moyens financiers dans le privé, mais cela n’empêche pas que, dans le secteur public, il reste encore beaucoup de choses à revoir. Justement, avec Quid IA, on veut avoir une offre intéressante pour ces acteurs, mais aussi pour des TPE/PME qui sont souvent oubliées. Le besoin est d’autant plus présent du fait que dans le domaine du consulting, les acteurs proposent souvent des offres assez chères, sans forcément être transparents sur leurs tarifs.

Pourtant, le RGPD s’applique à tout type d’entreprise.

« Et c’est d’autant plus simple, pour une TPE/PME, de se mettre en conformité dès le départ« 

… plutôt que de revoir toute l’organisation de l’entreprise une décennie plus tard. C’est souvent cela qui va absorber le plus de temps dans le métier de consultant. De plus lorsque l’on arrive dans une entreprise, on explique ce qui ne va pas, et en faisant cela, on va possiblement remettre en cause une organisation qui est là depuis plus de 10 ans et ça, cela ne va pas aider à redorer l’image des consultants…

Du fait que les PME n’ont pas pris de mauvaises habitudes dans la gestion de leurs données personnelles elles sont de bons clients ?

Justement, les entrepreneurs se questionnent par rapport à la création de leur entreprise et de leur mode de développement.

« Le RGPD intervient directement dans la vision globale du développement de l’entreprise. »

Il faut aussi avoir toute la conformité RGPD en tête. En tant que prestataire, proposer des offres adaptées à la taille des structures. On réfléchit actuellement, à la fois à une offre sur la partie « mise en conformité » et à une offre sur les outils de suivi qu’on est en train de mettre en place. On devrait avoir une grosse partie des outils prêts pour Septembre.

On a pour le moment les outils basiques, avec des questionnaires, un registre en ligne et surtout un Chatbot RGPD développé par Inbenta et agrémenté en collaboration avec Altij. Ce Chatbot, on le développe autant chez Quid IA qu’au sein du cabinet Altij. Je m’occupe personnellement de fournir la base en questions et en réponses. Le but est d’en faire un outil utile, tant pendant la phase de mise en conformité que pendant le suivi de la conformité. Les salariés peuvent se tourner vers ce Chatbot pour avoir des réponses à des questions simples. Et aussi, au niveau de la direction, on trouvera également des réponses à des questions plus spécialisées.

Penses-tu que l’entreprise doit prendre en compte, dès la création, comme un réflexe, des aspects juridiques issus du RGPD ?

Cela devrait être le cas en théorie. En pratique, tous les entrepreneurs n’ont pas, d’entrée, l’opportunité de se payer un juriste interne ou les services d’un avocat. Cela reste assez compliqué malgré les efforts de la CNIL pour aider les entrepreneurs qui sont dans une démarche volontaire. Le problème, c’est que la CNIL, même si elle a la volonté d’accompagner dans la mise en conformité, n’en a pas forcément les moyens. Le RGPD ne lui a pas donné l’occasion d’obtenir une plus grande enveloppe que pour la mise en application de la Loi Informatique et Libertés. Elle n’a donc pas plus de moyens qu’avant. Elle ne fait que ce qu’elle peut avec ce qu’elle a.

Pensez-vous que, au-delà de l’aspect accompagnement, les TPE/PME craignent la CNIL ?

Les TPE/PME et les startups gardent une visibilité sur internet, ont un site qui reste facile d’accès, etc. Il ne faut pas oublier que la CNIL peut faire des contrôles en ligne depuis quelques années. Si dans le lot qu’elle va contrôler en ligne, certains sites ne sont pas du tout conformes, cela peut l’inciter à venir faire des contrôles au sein des locaux de l’organisme.

« Ce que je conseille généralement à mes clients, c’est de revoir en priorité les problématiques de sécurité, de mentions d’information et de durée de conservation, mais également de revoir la vitrine de l’entreprise qu’est son site internet. »

Pensez-vous que le RGPD est un frein ou un accélérateur à l’entrepreneuriat ?

Je pense que l’on peut voir le RGPD comme un frein ou un accélérateur, selon l’argumentaire que l’on souhaite développer. Nous, par rapport à notre activité, on peut montrer en quoi cela va permettre de dynamiser l’activité des organismes, etc.

La conformité au RGPD augmente la valeur de l’entreprise. Si l’entreprise a une base de données conforme, elle a alors une plus grande valeur et la cession ou fusion de celle-ci sera alors plus simple et plus intéressante.

Mais c’est vrai qu’on peut aussi voir le RGPD comme bloquant parce que la mise en conformité doit se faire maintenant. C’est le principe du privacy by design : réfléchir dès le départ à la protection des données pour ne pas se retrouver dos au mur, plusieurs années plus tard, avec la CNIL qui viendrait alors demander de tout revoir, ce qui nécessiterait un arrêt de l’activité pendant plusieurs mois. C’est pour cette raison qu’il faut prendre les devants avec le RGPD. Il faut également prendre en compte les aspects propres à l’accountability, c’est-à-dire notamment la mise à jour des mécanismes et des procédures internes.

Aujourd’hui, on voit que le RGPD a chamboulé beaucoup de choses dans les organisations. Pourquoi la loi Informatique et Libertés n’y est pas parvenue ?

Il y a plusieurs facteurs, à commencer par le fait que le RGPD a été beaucoup plus médiatisé que la loi Informatique et Libertés. Il y a aussi le fait qu’il s’agit d’un phénomène européen et pas seulement français. Les entreprises qui sont d’une certaine taille et qui travaillent dans toute l’Europe, vont avoir affaire à une réglementation commune dont on va leur parler dans les différentes antennes. Les nouvelles sanctions ont aussi forcément un petit effet.

Je pense aussi que les affaires en cours et l’actualité font une certaine publicité du RGPD. Par exemple, Facebook avec Cambridge Analytica, Darty et son SAV, Uber et sa fuite de sécurité cachée pendant plusieurs années… Les gens commencent enfin à se rendre compte de tout ce que peuvent apporter les outils qu’ils utilisent et ce qui peut poser problème du fait de leurs utilisation. Par exemple, il y a actuellement une méfiance vis-à-vis des réseaux sociaux alors qu’il y a quelques années, on idéalisait les réseaux sociaux, on pensait que ça allait révolutionner Internet. Aujourd’hui, on voit que ces raisonnements-là n’existent plus vraiment.

En plus de la loi Informatique et Liberté, du RGPD, le règlement ePrivacy va arriver, que pouvez-vous nous en dire ?

Il y a encore des évolutions récentes au sein des institutions européennes, le contenu des textes et articles en eux-mêmes sont encore modifiés, comme l’article 10 quant au paramétrages liés à la vie privée, qui disparaîtrait. Mais cela reste encore une bataille acharnée de lobbies.

« De ce fait, je ne pense pas que le règlement ePrivacy n’arrivera avant l’année prochaine. »

On est donc bien loin après l’entrée en vigueur souhaitée en mai 2018, en même temps que le RGPD.

Que dit cet article 10 ?

Il dit qu’il faut parfaitement informer les visiteurs sur les différents outils qui permettaient de les tracer et sur le paramétrage des navigateurs et applications. Et cela pose alors un problème, car certains acteurs veulent durcir les normes autour des cookies tandis que d’autres veulent les amoindrir. Si l’on souhaitait être simpliste, c’est encore une bataille entre les GAFAM et les associations de défense des droits et libertés. Pour le moment, c’est la vision des GAFAM qui l’emporterait quant à cet article.

Le règlement ePrivacy va encore venir apporter des précisions au RGPD ?

Oui, il y aura des précisions pour des points où des lacunes substituaient, mais il ne devrait pas y avoir de grands changements quant à l’état d’esprit mise en place par le RGPD et le droit européen.

Aujourd’hui, sous le RGPD, ça vaut le coup de mettre ses cookies en conformité ou il vaut mieux attendre les changements du ePrivacy pour s’y mettre ?

Oui, justement, il faut le faire au plus tôt, on a d’ailleurs eu une évolution avec le RGPD. Auparavant, on avait juste un bandeau cookie qui disait qu’en continuant la navigation, un dépôt de cookie allait s’effectuer sur le navigateur. Déjà, ces bandeaux étaient souvent faux parce que les cookies se déposaient en arrivant sur le site et non en naviguant sur une autre page. Ce n’était donc pas très fonctionnel. Maintenant, on tend plus vers une mentalité où les cookies ne seront pas déposés tant qu’on n’aura pas cliqué sur le bouton « j’accepte ». La prochaine étape qui va arriver ensuite, sûrement avec le règlement ePrivacy, ce sera alors de pouvoir activer et désactiver chaque type de cookie de manière séparée. On va avoir un « j’accepte » et « je refuse » placés au même niveau, pour au final rendre peut-être le dépôt de cookies plus éthique.

Pensez-vous que les utilisateurs finaux cliquent sur « je refuse » ou « en savoir plus » et sont suffisamment sensibilisés ?

Non, il faut être lucide, c’est le même principe que les conditions d’utilisation d’un site. Les utilisateurs acceptent sans avoir pris connaissance des conditions en détail.

« Après, c’est un travail de sensibilisation dans l’éducation aussi. »

Par exemple, je pense faire partie de la première génération ayant été réellement sensibilisée dès l’enfance à Internet et aux risques qui en découlent.

Cela passera aussi par un travail autour du legal design, en mettant des symboles plus clairs, des designs plus accrocheurs pour attirer l’attention de l’utilisateur. C’est vrai que face à trois paragraphes de phrases purement juridiques, à part quelqu’un qui est très intéressé par la question, personne d’autre n’a envie de les lire.

« Je pense qu’il y a besoin de mieux informer les personnes. »

Pas forcément par des normes, mais aussi par des choses qui relèvent du bon sens. Il y a encore de bonnes idées à trouver dans ce domaine.

On a parlé de mauvaises pratiques, quelle est la pire chose que vous ayez pu observer dans les entreprises ?

Un problème que je retrouve souvent, c’est la gestion des accès dans les locaux. Quand j’allais faire des diagnostics, il m’arrivait d’arriver un peu à l’avance. Et c’était intéressant de voir ce que je pouvais atteindre en tant que visiteur sans avoir à me présenter. Au-delà d’une certaine taille d’entreprise, il y avait un accueil, des portiques qui me limitaient les accès.

Dans les sociétés de plus petite taille, je pouvais me balader tranquillement dans les locaux.

Dans certains organismes dans le milieu de la santé, je pouvais accéder à certaines parties des locaux, je pouvais consulter le dossier médical de certains patients qui trainaient …

« Ce problème de sécurisation de documents papiers et des outils numériques, c’est un gros problème dans tous les types d’organismes. »

Des formations du personnel peuvent-elles être une solution ?

Oui, cela pourra régler le problème pour partie. C’est vrai que lorsque l’on va faire le diagnostic, tant chez Altij que chez Quid IA, on va commencer par une réunion d’information et, le plus tôt possible, commencer à faire les formations auprès du personnel avant de se lancer dans la phase de diagnostic, etc.

Cela va permettre de sensibiliser les personnes, les pousser à se poser les bonnes questions. Après lorsque l’on revient vers elles lors des entretiens, elles se sont alors déjà demandées ce qu’elles faisaient réellement, quels étaient les traitements auxquels elles participaient…

« Et je pense que lancer le diagnostic, sans la sensibilisation, cela peut être contreproductif. »

Tu es juriste chez ALTIJ et DPO chez Quid IA, qu’est-ce qui différencie ces deux métiers ?

Pour Quid IA, je suis davantage flexible. Il faut que je sache adapter mon discours par rapport à la personne qu’il y a en face de moi. On peut avoir, face à nous, un employé qui n’est ni technicien, ni juriste et qui n’a pas forcément les compétences en la matière. Il y a donc également un travail presque psychologique, un effort à faire afin de prendre le temps d’expliquer les choses.

Quand on s’adresse à la direction, il peut aussi être très important de ménager les susceptibilités de chacun. C’est souvent une grosse partie du travail : prendre le temps de bien expliquer les notions ou calmer les inquiétudes, tout en faisant attention aux termes que l’on choisit.

Au-delà de ça, quelles sont les compétences requises pour un DPO ?

Des compétences juridiques et des compétences techniques. Après je ne pense pas qu’il y ait un meilleur profil, entre technicien et juriste. Peu importe d’où l’on vient, on peut toujours se former dans la compétence que l’on n’a pas. On va pouvoir voir ce que ça va donner dans les formations qui vont arriver pour devenir DPO. A Paris Dauphine, un Diplôme Universitaire dirigé par Jean-Luc SAURON va être lancé l’année prochaine.

Sur la formation, je pense qu’il faut vraiment valoriser la mixité des compétences, en proposant un programme à la fois technique, juridique et organisationnel, tout ceci afin de consolider et compléter les compétences acquises par chacun dans sa formation de base.