PODCAST FIT4PRIVACY – le RGPD en un mot – Peter Berghmans

À l’occasion des 3 ans du RGPD, FIT4PRIVACY a organisé un podcast avec notre CEO Peter Berghmans. Avec l’auteur du podcast, Punit Bhatia, les deux experts ont eu une discussion ouverte sur les avantages et les défis du RGPD du point de vue de l’organisation, de la réglementation et des consommateurs, et sur la façon dont Peter voit l’évolution de la vie privée au cours des 3 à 5 prochaines années.

Vous trouverez ci-dessous un bref résumé de leur conversation.

Vous aimez aussi écouter le podcast ? Vous pouvez le faire via ce lien :

A Special on GDPR at 3 with Peter Berghmans (Full Episode) – The FIT4PRIVACY Podcast – YouTube

« Le RGPD est immature »

Les experts ont déjà essayé à de nombreuses reprises de résumer le RGPD en un mot, mais pour Peter Berghmans, le mot à retenir ici est « immaturité ». Cela ne doit pas nécessairement avoir une connotation négative, au contraire : immaturité signifie que le RGPD peut et va encore se développer, que l’on peut encore y travailler et qu’il faut considérer l’ensemble du RGPD comme un défi.

Selon Peter, nous sommes aujourd’hui pour le RGPD au point où nous étions pour la sécurité de l’information en l’an 2000 : « Nous savons que c’est un sujet important, nous essayons de créer un engagement avec les employés et la direction et nous essayons de comprendre comment cela fonctionne ; nous commençons tout doucement à réaliser que le RGPD est important mais nous ne savons pas encore comment mettre tout cela en œuvre correctement », affirme Peter.

« Le RGPD figure à l’ordre du jour de la direction »

Avant 2018, selon Peter, qui était à l’époque consultant en sécurité, il était extrêmement difficile d’obtenir pour la protection des données l’attention du CEO, du conseil d’administration ou même des employés d’une entreprise et de leur dire ce qu’ils devaient ou ne devaient pas faire. Grâce au RGPD, un DPD bénéficie désormais de l’attention nécessaire. Lorsqu’une violation de données se produit, la direction dira plus vite : « OK, il faut avertir l’autorité de contrôle. » Auparavant, cela était tout simplement impensable et les violations de données n’étaient tout simplement pas signalées. Il y a donc bien un changement de culture. La création de nouvelles autorités de protection des données dans les différents pays européens et les amendes parfois très élevées ont également fortement accru la volonté de coopérer avec les autorités.

« Le contrôle n’en est pas encore à sa vitesse de croisière »

Selon Peter, l’immaturité susmentionnée du RGPD s’applique certainement aux autorités de contrôle. Bien qu’elles travaillent dur, trop de décisions sont contestées. Les autorités de contrôle sont également confrontées à une pénurie de personnel dans de nombreux pays.

Du point de vue du DPD, il y a certainement un manque de soutien suffisant de la part de l’autorité de contrôle, bien que des efforts soient déployés à cet égard. Après tout, le poste de DPD est nouveau et de nombreux DPD se débattent avec des questions qu’ils aimeraient partager avec l’autorité de contrôle.

Dans la pratique, en revanche, il y a aussi beaucoup de réticence à poser des questions à l’APD ou à signaler une violation de données. « Si vous grillez accidentellement un feu rouge avec votre voiture, vous ne serez pas non plus enclin à le signaler spontanément à la police », s’amuse Peter.

« Sensibiliser la personne concernée »

Selon Peter, le RGPD est un outil puissant, mais c’est aussi une arme à double tranchant. Si une personne concernée est en désaccord avec une certaine organisation, elle peut lui rendre la vie difficile en abusant de ses droits. Ici aussi, nous devons sortir de notre immaturité et mieux guider la personne concernée.

En tant que DPD dans le monde hospitalier, Peter voit mieux que quiconque comment le RGPD est souvent mal compris. Les patients demandent ainsi parfois que leurs données soient supprimées au nom du RGPD. Cela n’est évidemment pas possible car, outre le RGPD, les hôpitaux doivent également respecter d’autres législations, dont la loi sur les hôpitaux.

De plus, il n’est pas facile d’expliquer en 30 secondes à un patient, lorsqu’il vient s’inscrire, quels sont ses droits en tant que patient. De nombreuses politiques de confidentialité d’hôpitaux sont un fatras de droits et d’obligations incompréhensibles.

« Les DPD ont besoin de plus d’expertise et d’expérience »

Le DPD doit avoir des connaissances et des compétences en matière d’informatique, de législation, de structure organisationnelle, de ressources humaines, de diplomatie, etc. Cependant, la réalité montre qu’il n’est pas possible de maîtriser tous ces domaines avec la même maturité. La formation pratique est donc essentielle pour acquérir et ensuite maintenir des connaissances de base sur le RGPD. Mais l’expérience est également importante. Il y a donc un travail constant à faire pour acquérir de l’expérience et actualiser constamment les connaissances.

Selon Peter, il existe heureusement suffisamment de possibilités dans la société actuelle pour acquérir de l’expérience en tant que tout nouveau DPD ou spécialiste de la protection des données. Si toutes les entreprises ne sont pas tenues de désigner un DPD, toutes doivent se conformer à la réglementation.

Une valeur ajoutée pour les DPD est certainement constituée par les communautés où les DPD peuvent apprendre les uns des autres. DPI, par exemple, a un rôle important à jouer à cet égard avec ses Privacy Cafés, mais DPO Circle et DPO PRO sont aussi des associations importantes où les DPD se réunissent. Il existe bien entendu également de nombreuses autres plateformes, comme un podcast, et des groupes comme la communauté DPD pour les hôpitaux.

Aimeriez-vous appartenir à l’une de ces communautés ?

Devenez l’un de nos anciens DPI et suivez notre Formation Certification Délégué à la Protection des Données

« De nouvelles réglementations sont nécessaires »

La bonne nouvelle est que le RGPD n’est que le point de départ. Outre le RGPD, Peter espère l’arrivée des règlements en matière de vie privée et d’intelligence artificielle et une professionnalisation accrue. Il existe ainsi un besoin de certification officielle des produits et services et des codes de conduite. Ce dernier point est déjà une priorité pour les autorités de protection des données.

Le RGPD d’aujourd’hui n’est qu’un début, selon Peter.