Tandis que la place parisienne s'agite à résoudre l'impossible légalité-politique des transferts (i.e. accès) hors Union européenne vers des pays au niveau non-équivalent de protection quant à l'utilisation d'un outil monopolisant le marché pour une pseudo finalité de mesure d'audience, il est certain que les chefs d'orchestre de l'article 37 du RGPD peuvent avoir un coup de blues en cette rentrée. - Cette accroche liminaire traduisant brièvement le contexte loin de leur printemps, retantissant au parc des Princes.
D'habitude, ils connaissent la musique - méprisant en silence ceux confondant "privacy" et "data protection". Mais depuis plusieurs mois, la dissonance s'installe malgré leur bonne lecture de toutes les tablatures disponibles.
Reprenons les principaux évenements - en bref, seulement depuis 2020. Hymne à la joie lors de l'invalidation du Privacy Shield 2.0 (i.e. "le Safe Harbor est mort, vive celui d'après... et encore d'après"), les conséquences en stocks de contrats à remédier, en accord avec les différentes versions telles un canon des recommandations des autorités par miracle conciliées au niveau européen (i.e. "du G29 au Jet27, ne me tentez pas"), de difficiles échanges internes entre le duo de choc CISO/DPO sur les mesures complémentaires plus ou moins possibles à mettre en oeuvre et en rythme pour ne pas arrêter de travailler avec le reste du monde (i.e. contenter les business "sinon la boîte ferme, on ne peut plus rien faire"), les risk-based approach en tempo (i.e. du pire au moins pire), les règlementations qui popent au gré des continents (les cartographies à peine sèches), les opérationnels formés de concert à la prospection commerciale (i.e. un peu moins sale), les consentements des utilisateurs donnés à l'unisson sur des CMP-wall via des solutions éditeurs en concours d'interfaces construites en "puissance 4" (i.e. accepter/refuser/paramétrer/finalité(s)/sous-finalité(s)/liste-des-destinataires-selon-finalité(s)/vendor-aussi/continuer-sans-accepter/abonnement/ok/j'ai-compris/je-renonce/écran1/écran2/écran3/barre-en-choix-neutre/ah-bon-on-a-ca-comme-traceur?), les formulaires du site et de l'app en front mieux raccordés aux bases en back que l'année d'avant, la liste des évenements générants les points de départ des délais de durée de conservation en récital dans la politique de conf', l'instance associative européenne de défense de la publicité ciblée en pleine réinterprétation commerciale d'un sujet légal (heureusement, bel écho de la décision Belge pour remettre de l'ordre dans les carabistouilles), le projet de règlement européen sur l'IA toujours en répétition, les data breach déclarées de moins en moins en opéra-comique, les citoyens bien informés de leurs droits revendiqués par leurs claviers sur l'adresse DPO(at)nomdelasociete-quinelecoutepastoujours.fr : jusque là, le DPO connaissaît la rengaine.
Son solfège est maîtrisé du bout des doigts. Mais voici venu un temps nouveau.
Et là, il improvise.
Comme le dira la chanson : "Le monde est entré dans un nouveau..." métavers ; oui, pendant les vacances, c'est arrivé en France - la news a été discrète.
Mais plus signifiant encore : est venu le temps de l'accountability en preuve de non-compliance. Bienvenue en pleine cacophonie. CEO et autres, entendons-nous bien : votre équipe juridique est compétente mais les instruments à disposition ne sont pas dignes de générer grande harmonie. Soyez doux avec vos équipes de conformité, ne leur tendez pas la corde. Cela n'est pas de leur faute si l'ambiance est difficile et que la complexité des tâches est en crescendo.
Le délégué - souvent virtuose quand il existe car souvent sans délégation et non désigné par la majorité de sa classe - peine à coordonner ses travaux. Souhaitant son travail toutefois réalisé au plus proche de ses inspirations : il commence à faire l'impossible. Budgets serrés ou inexistants, il sait qu'une analyse d'impact sur CE SUJET doit être réalisée en priorité, en vitesse accélérée. Une fois les équipes opérationnelles convaincues (i.e. à base d'arguments selon le refrain type "visite inopinée et/ou de sanction imminente de la part de l'autorité de protection et DE CONTRÔLE en charge au niveau national"), le DPO lance le très fameux logiciel disponible en ligne (ou celui afférent en mode local lorsqu'il ne bugge pas) et, miracle : l'audition commence (i.e. c'est l'atelier brainstorming du vendredi après-midi du retour des vacances "car ça traîne depuis un moment").
Evidemment, il est rare que le traitement n'ait pas déjà été mis en oeuvre. La régularisation formelle a posteriori : une valse classique. La régularisation de fond a posteriori : un grand absent, sauf à convaincre par une note d'avis explicite le représentant légal de la société ne pas signer l'analyse d'impact et de tout arrêter au nom du bien commun (i.e. demander à une entreprise privée de ne plus être capitalistique).
Evidemment, le DPO du secteur public aurait les mêmes ambitions, mais il est difficile pour lui d'avoir la bonne accoustique quand les drônes de reconnaissance faciale s'apprêtent à résonner au-dessus des citoyens à des fins de sécurité du territoire sur le fondement d'une obligation légale. Levée de rideau sur l'un des aspects phares du projet de règlement européen sur l'IA, sans savoir qui incarnera l'autorité DE PROTECTION et de contrôle afférente*.
*(Six heures après la publication de cet article, le Conseil d'Etat a proposé à on savait quelle AAI de l'incarner).
Qu'importe son secteur, le DPO doit formaliser et va contribuer à un PIA qui justifiera entre les lignes réservées aux principes fondamentaux et l'évaluation des risques : "Flûte, on a fait le maximum en l'état chaotique des choses". Quelle sera la tolérance de l'autorité face aux solos de clarinettes qui sonnent comme du pipo ?
Ah, des mesures de remédiation, bien sûr. Une solution demandée par de nombreux ténors en plein no man's land politique, sans accord, pour rappel, avec les Etats-Unis, la Chine et la Russie (pour ne cîter que certains pays tiers, entre autres). Accordeur, le DPO relève chaque jours des défis de conciliation d'ambitions, de textes nationaux, de métiers. Il mérite aussi sa part d'audience alors qu'on lui offre peu de cookies. Il se bat pour une cause plus grande que lui : le public.
Il ne demande pas d'applaudissements. En standing ovation, il voudrait juste pouvoir négocier les contrats là où même entre mastodons rien ne bouge. Abandonner les contrats d'adhésion le mettrait de meilleure composition. Alors, de sa part, allez redire à Marcel(le) de la comm' interne de ne pas utiliser les questionnaires singés pour faire les élections du personnel. Il s'agit bien d'un transfert hors UE, oui. Mais sinon tout est sous contrôle... imminent de l'autorité. Au moins une petite mise en demeure pour une rentrée en fanfare.