Comment faire ?

Le précédent article de ce blog fantôme apportait des précisions sur les exigences minimales à suivre (sous réserve de les tests) afin de mener un projet numérique à bien. Cette fois-ci, l'article pose la 1 000 000 000 ième question sur le RGPD et comment le respecter...

Vous noterez que de nombreuses personnes n'y ont rien compris alors qu'en définitive, il s'agit de : garantir les droits et libertés fondamentales de chaque personnes physiques. N'ayons pas peur des mots : nos libertés sont en danger car le numérique peut, mal utilisé ou utilisé dans des buts malveillants être terrible... (voir l'affaire Cambridge Analytica par exemple). Ainsi, il appartient à tout le monde de prendre le temps de s'imposer quelques exigences qui ne sont pas si compliquées que cela ni même insurmontable... Dans de nombreux cas, il sera même possible d'en ressortir un bénéfice non négligeable, comment ? Je le garde pour mes clients ;)

En attendant, voici un document librement adapté des informations de la CNIL Française et du G29 concernant le Règlement Général sur la Protection des Données. Date de dernière mise à jour : 30/11/2019

Le DPO (Data Protection Officer) ou DPD (Délégué à la Protection des Données) est un acteur primordial pour la conformité réglementaire de notre société notamment vis-à-vis du Règlement Général sur la Protection des Données mis en application en mai 2018. Dans un souci de facilitation de la compréhension, le terme anglais DPO sera utilisé par la suite.

Les obligations des sociétés

Même si l’obligation de disposer d’un DPO n’est pas pour tous les types de société, il convient tout de même de pouvoir s’assurer de la conformité légale (donc vis-à-vis du RGPD) pour éviter les sanctions financières (voir https://www.cnil.fr/fr/tag/sanctions) mais aussi les impacts négatifs sur l’image.

Une société n’ayant pas obligation de nommer un DPO peut tout de même en nommer un par soucis d'Éthique, de prise de conscience de la sensibilité des données personnelles qu’elle traite mais également afin d’augmenter le niveau de maturité vis-à-vis de la sécurité de tous les types de données qu’elle traite.

En effet, les différents articles du RGPD (c.-à-d. 99) peuvent être transposés sur les données commerciales ou technologiques.

Le G29, groupe des "CNIL" européennes, a, à ce titre, précisé que les obligations des sociétés vis-à-vis du RGPD impliquent notamment :

• La nomination « officielle » du DPO par le biais d’une communication interne au sein de l’entreprise,
• La fourniture au DPO de supports, de temps, de ressources financières, d’infrastructures et, le cas échéant, d’une équipe,
• La mise en relation du DPO avec les autres services de l’entreprise (service juridique, service sécurité, etc.),
• L’invitation du DPO aux réunions importantes de l’entreprise,
• La présence du DPO dès lors qu’une décision relative à une problématique liée aux données personnelles de l’entreprise doit être prise,
• Le suivi et la prise en compte des avis et recommandations du DPO,
• La consultation du DPO dès qu’un incident impactant les données personnelles de l’entreprise se réalise.
• Veiller à l’absence de conflits d’intérêts,
• La fourniture d'un budget pour ses propres missions

Les missions d’un DPO

Les missions d’un DPO sont les suivantes (sans que cela ne soit une liste exhaustive). À noter que la CNIL Française qualifie le DPO comme étant un « Chef d’orchestre » de la conformité (le chef d’orchestre joue-t-il la partition ?)  :

• d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ;
• de contrôler le respect du règlement et du droit national en matière de protection des données ;
• de conseiller l’organisme sur la réalisation d’une analyse d'impact relative à la protection des données et d’en vérifier l’exécution ;
• de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci (voir question ci-après).
• contrôler et analyser le ou les impacts des traitements sur la vie privée des personnes ciblées par ceux-ci,
• tenir les différents registres des activités de traitement, de sous-traitants, de violation des données.

Ces missions couvrent l’ensemble des traitements mis en œuvre par l’organisme qui l’a désigné.

Le G29 indique que le délégué n’est pas personnellement responsable en cas de non-conformité de son organisme avec le règlement.

Déclarer son DPO en ligne : https://www.cnil.fr/fr/designation-dpo

Comment organiser la fonction de délégué à la protection des données ?

Nous avons un DPO, et maintenant quoi ?

• s’approprier les nouvelles obligations imposées par le règlement européen, en - s’appuyant notamment sur les lignes directrices du G29 (portabilité, autorité chef de file, analyse d’impact).
• confier au futur délégué les missions suivantes :

• réaliser l’inventaire des traitements de données personnelles mis en œuvre ;
• évaluer ses pratiques et mettre en place des procédures (audits, confidentialité assurée par la conception, notification des violations de données, gestion des réclamations et des plaintes, etc.) ;
• identifier les risques associés aux opérations de traitement ;
• établir une politique de protection des données personnelles ;
• sensibiliser les opérationnels et la direction sur les nouvelles obligations.

@Sources :

• https://www.cnil.fr/
• https://edpb.europa.eu/edpb_fr