La CNIL et ses homologues européennes sont-ils prêts pour le RGPD ?

Alors que le règlement général relatif à la protection des données entre en vigueur, les autorités européennes en charge de la protection des données appliquent des politiques de recrutement très divergentes pour appliquer les nouvelles règles de confidentialité.

Helpameout | Wikimedia

Les autorités européennes chargées de la protection des données (APD) appliquent des politiques de recrutement diamétralement opposées en vue de l’application des règles de l’UE relatives à la vie privée.

Alors que les comités de surveillance de certains pays de l’UE doublent leurs effectifs, d’autres ne prévoient pas du tout de nouveaux recrutements même si les citoyens de l’UE obtiennent une série de nouveaux droits grâce au règlement général relatif à la protection des données (RGPD) qui entrera en vigueur le 25 mai.

Vera Jourova, commissaire à la justice de l’UE, a déclaré la semaine dernière aux journalistes qu’elle craignait que les sous effectifs des autorités chargées de la protection des données (APD) ne rendent la tâche encore plus difficile. « Nous voulons que les APD soient bien équipées pour effectuer leur travail qui n’est pas seulement de sanctionner mais aussi de donner leur expertise et de conseiller. Je ne veux pas que les APD soient mis en difficulté », a-t-elle déclaré.

Le nombre de personnes actuellement employées dans les APD européennes varie significativement, allant de 11 à Malte à 565 au Royaume-Uni (528,5 ont un contrat équivalent au temps complet, une méthode comparative qui tient compte du fait que le personnel travaille parfois à temps partiel).

Pour ce qui est de l’Allemagne et la France, les deux plus grands Etats membres de l’UE, l’éventuelle hausse du nombre de salariés dans les APD n’est pas encore sûre car elle dépend de la volonté du gouvernement à augmenter leurs budgets.

Le commissaire fédéral allemand à la protection des données et à la liberté d’information emploie 160,5 personnes équivalent au temps plein (ETP) en 2017 selon un porte-parole. Il a également noté que le nombre de personnes employées dans les APD allemandes a été en constante augmentation au cours des dernières années passant de 90 personnes en ETP en 2015 à 110,5 personnes en ETP en 2016. Selon ce dernier, les autorités allemandes ont demandé des effectifs supplémentaires mais l’augmentation finale dépendra de l’issue des négociations du budget. « Je ne peux pas donner de chiffre précis à ce stade », a-t-il ajouté.

Son homologue à l’APD française connu sous l’acronyme CNIL a voulu faire passer le même type de message : « La CNIL a demandé des effectifs supplémentaires en raison du RGPD mais les discussions relatives à ces problèmes financiers sont toujours en cours. » La CNIL a actuellement 199 salariés en ETP.

Quelques APD ont expliqué à EUobserver qu’elles prévoyaient des augmentations substantielles du nombre de collaborateurs.

L’APD néerlandaise a déjà augmenté ses effectifs, qui sont passés de 76 à 112,8 salariés en ETP et elle prévoit de l’augmenter davantage, selon sa porte-parole. Elle a déclaré que le ministère néerlandais de la justice et de la sécurité a approuvé l’idée d’une augmentation du nombre d’agents de l’APD pour que l’effectif s’élève à 185 salariés en ETP. Cependant, même si le ministère a approuvé une augmentation  dans le budget de l’APD cela ne suffira pas à couvrir les frais des nouvelles embauches, a déclaré la porte-parole hollandaise. « Une ligne budgétaire supplémentaire sera nécessaire pour que le travail puisse être effectué correctement », a-t-elle noté.

Leurs voisins du sud prévoient quant à eux une augmentation bien plus modeste. L’APD belge qui a 54,63 agents en ETP a reçu l’autorisation d’embaucher deux conseillers supplémentaires en charge de la sécurité de l’information, selon la porte- parole. Tout en attendant toujours la permission de pouvoir engager 8 salariés supplémentaires en ETP : quatre en 2018, deux en 2019 et enfin deux en 2020. Les APD croate, autrichienne et bulgare et ont déclaré qu’elle embaucherait respectivement 1, 8, et 18 personnes.

En Estonie, 18 personnes suffisent

Cependant le comité de surveillance de la République tchèque qui emploie déjà 100 personnes a déclaré qu’il n’avait aucunement l’intention d’embaucher des personnes supplémentaires. L’Estonie ne semble pas non plus dans l’optique d’embaucher plus de personnes où seulement 18 agents travaillent depuis quatre ans.

Un porte-parole de l’autorité grecque relative aux données a déclaré à EUobserver que 20 personnes supplémentaires seraient embauchées en plus des 44 déjà présentes. « Notez que le nombre réel de personnes qui travaillent actuellement à l’APD hellénique est beaucoup plus limité car certains salariés sont détachés et d’autres sont en congé maternité ou sans soldes, » a-t-il souligné.

L’APD danoise n’a pas répondu aux questions d’Euobserver mais le bureau de contrôle européen de la protection des données (CEPD) a déclaré qu’il a été informé que le comité de surveillance danois augmenterait ses effectifs qui passeront de 20 en août 2015 à 55 personnes fin 2018.

Le RGPD a été politiquement approuvé en décembre 2015 et formellement adopté en avril 2016.

Pour ce qui est du graphique, il convient de noter que certaines APD ont communiqué le nombre de salariés en équivalent temps plein (ETP) et autres contrats en se basant sur le nombre total de collaborateurs. Les APD n’ont pas toujours répondu aux questions d’EUobserver ou ont transmis des chiffres concernant le nombre total d’employés plutôt que celui des ETP, ce qui a rendu les comparaisons plus difficiles car certains postes sont à temps partiel. De plus, ces chiffres n’offrent qu’une vision générale. Ils ne disent rien sur le niveau d’efficacité des travailleurs et sur le nombre de personnes impliquées dans les tâches de gestion et les tâches administratives vs. celles en charge de l’application des règles sur la vie privée.