DPO : Data Protection Officer

DPO : Data Protection Officer

Gardien des données

Les entités publiques comme les entreprises auront bientôt l’obligation de nommer un Data Protection Officer : un DPO, qui devra veiller au rigoureux respect de la nouvelle réglementation européenne vis-à-vis de la protection des données personnelles. Un poste technique, juridique et surtout très politique.

Le Règlement général sur la protection des données (RGPD), qui sera effectif le 25 mai 2018, rend obligatoire la nomination d’un Data Protection Officer (DPO) pour les entités publiques et certaines entreprises. « Ce délégué à la protection des données sera au coeur du nouveau cadre juridique européen -, résume le groupe de travail G29, qui réunit les « Cnil européennes ». La nomination d’un DPO sera donc incontournable pour toutes les entités publiques du Vieux Continent, telles que les collectivités locales, les hôpitaux, les universités. .. Côté entreprises, le DPO sera obligatoire pour celles dont l’activité principale les amènent à réaliser à grande échelle un suivi régulier et systématique des personnes (profiling), ou de traiter des données «sensibles» – santé, opinions politiques ou religieuses, orientation sexuelle, etc. – ou des données relatives à des condamnations et infractions pénales. Parmi les entreprises qui devraient être concernées par cette obligation : des sociétés d’e-commerce ou de marketing digital, des banques et assurances, des établissements de soins ou encore des entreprises du secteur des télécoms.

•Même lorsque le RGPD n’exige pas spécifiquement la nomination d’un DPO, les entreprises pourront parfois estimer utile d’en désigner un sur une base volontaire », poursuit le G29. Car en effet, le nouveau règlement européen renforce très sensiblement les responsabilités des entreprises en matière de protection des données personnelles et surtout les sanctions. En France, le plafond maximal des sanctions de la Cnil est déjà passé de 150000 euros à 3 millions d’euros avec la Loi pour une république numérique de 2016. Les amendes prévues par le RGPD peuvent quant à elles atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial. De quoi inciter de nombreuses entreprises à nommer un DPO pour s’assurer de leur conformité avec le nouveau règlement.

Une évolution du CIL

Quelles seront les missions du DPO? La principale sera de veiller à l’intégrité et la protection des données personnelles de son organisation, tant sur le plan juridique que technique. Il sera également l’intermédiaire entre son organisation et l’autorité de contrôle, en France la Commission nationale de l’informatique et des libertés (Cnil). Ce poste est donc assez proche de celui de Correspondant informatique et libertés (CIL), déployé depuis 2005 dans des entreprises et les entités publiques françaises. – Les fonctions sont très similaires, mais le contexte est différent», résume Albine Vincent, chef du service des CIL à la Cnil. Même son de cloches à l’AFCDP, association française représentant les CIL. * Les fonctions d’un DPO sont à peu près les mêmes que celles d’un CIL, mais avec le niveau de sanctions prévues par le nouveau règlement, elles prennent une tout autre dimension», estime son délégué général Bruno Rasle.

D’ailleurs, sur les 4 800 CIL actuellement en poste, une grande majorité d’entre eux devraient devenir DPO d’ici à mai 2018. Cette évolution ne sera pas automatique, mais ce choix sera souvent le plus logique. • Si le CIL a donné satisfaction dans sa mission, il sera bien placé pour devenir DPO. Il devra bien entendu se former pour connaître parfaitement la nouvelle réglementation». Je rappelle que la Cnil propose des ateliers d’information sur le sujet. Des formations longues existent aussi pour se former au poste de DPO, comme le Master CE1D de Nanterre ou le mastère spécialisé de l’Institut supérieur d’électronique de Paris (Isep). * Ce sera de la responsabilité de l’entreprise ou de l’entité publique de choisir la personne qui sera en mesure d’occuper ce poste». «Dans le cadre de ses missions de contrôles, la Cnil pourra vérifier que le DPO est bien en mesure de réaliser sa mission et notamment qu’il n’y a pas de conflits d’intérêts avec d’autres fonctions éventuelles qu’il occupe. » Concrètement, la nomination du DPO devra être déclarée auprès de la Cnil, via un formulaire en ligne.

Déclarer un incident dans les 72 heures

Le premier travail d’un DPO sera d’établir une cartographie de l’ensemble des traitements de données de l’entreprise ou de l’entité publique. Pour cela, le DPO devra se rapprocher des représentants des différentes instances de l’organisation pour rassembler les informations nécessaires. Une fois cette cartographie réalisée, le DPO analysera chaque traitement de données en profondeur pour vérifier sa conformité avec le règlement. – Bien entendu, il devra se fixer des priorités et commencer par exemple par travailler sur les traitements les plus délicats», poursuit Bruno Rasle. Il s’agira notamment de vérifier les durées de conservation des données, en fonction de leur cadre légal, et si nécessaire de mettre en place des processus d’anonymisation ou même de suppression des données. Comme le CIL, le DPO devra ensuite tenir un registre dans lequel il référencera et détaillera les différents traitements des données à caractère personnel. * Pour tenir ce registre à jour, le DPO devra accompagner de nombreux projets de l’organisation pour s’assurer que la conformité est maintenue», précise l’AFCDP.

Parallèlement à ce travail réglementaire, le DPO participera à la gestion des éventuels incidents de sécurité survenant sur le SI. Le RGPD prévoit notamment l’obligation de déclarer une faille, entraînant une fuite ou un vol de données personnelles, auprès de l’autorité de contrôle dans les 72 heures suivant l’incident. Le DPO pourra accompagner son organisation dans cette déclaration. » Auparavant, le CIL n’avait pas l’obligation de déclarer une brèche dans le SI. Il pouvait simplement l’indiquer dans le registre. Cette nouvelle obligation sera une arme redoutable pour que le DPO soit entendu et compris dans son organisation ». Autre urgence que le DPO devra gérer : les demandes d’accès à ses données personnelles, formulées par exemple par un client. Cet accès est une obligation légale. La loi Informatique et Libertés laisse actuellement deux mois aux organisations pour répondre à ce type de demande. Avec le RGPD, ce délai est réduit à moins d’un mois.

Un profil juridique et informatique

Aujourd’hui, 47% des CIL sont issus de l’IT et 19% possèdent un profil plutôt juridique, selon les chiffres de la Cnil. Le reste est un panachage assez large, allant du documentaliste au responsable administratif. A priori, le poste de DPO devrait correspondre à ces mêmes profils. Il y a cependant aujourd’hui une tendance à penser que le DPO devra surtout disposer d’un profil juridique. Mais c’est une erreur. Il faut préserver la richesse de profils qui a fait la force des CIL, et laisser notamment le poste de DPO ouvert à des informaticiens.

Ayant un rôle éminemment transversal, le DPO doit être un « très bon communicant », indique-t-on à la Cnil. Outre la technique et le juridique, il doit également bien connaître les enjeux business, afin de ne pas se positionner comme un frein au développement de l’entreprise, mais davantage comme un garant du respect de la «privacy». Un respect qui peut d’ailleurs être très positif en termes d’image de marque, indique l’AFCDP. Au final, il s’agit donc d’un poste très « politique », plutôt accessible aux collaborateurs expérimentés.

DSI et RSSI, partenaires incontournables du DPO

Sans surprise, le DPO devra bien entendu travailler en étroite collaboration avec le DSI et le RSSI. Le DPO ne donnera pas d’ordres directs au DSI ou au RSSI, mais prodiguera plutôt des conseils sur la mise en conformité, en rappelant les obligations du nouveau règlement», précise Bruno Rasle. Si des points de frictions ne sont pas exclus, le DPO doit apporter de la quiétude au DSI et au RSSI, en prenant à sa charge toute la problématique de la mise en conformité. Dans la hiérarchie, le DPO reportera auprès du plus haut niveau de décision, le plus souvent la direction générale. Le RGPD stipule également qu’il doit pouvoir travailler en totale indépendance et ne pas subir de pressions, sans quoi l’entreprise ou l’entité publique est passible de sanctions.

Enfin, s’il n’existe pas encore de grille salariale établie pour le DPO, ses revenus devraient être au moins comparables à ceux du CIL, soit environ 50000 euros par an. La pénurie attendue de candidats au poste de DPO devrait même tirer les salaires vers haut. La Cnil prévoit que plus de 80000 organisations, publiques ou privés, devront se doter d’un DPO en France.

Source fournie par le leader du marché de la certification et de la mise en conformité : www.dataproof.be

 

Maître de la pensée évolutive intelligente

0 Avis

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.