21 mars 2017

|

Marc-Antoine LEDIEU – Avocat et RSSI

#085 RGPD le Data Protection Officer-DPO (Règlement UE « données personnelles »)

[mis à jour le 23 mai 2017] « Responsable, mais pas coupable« . Cette citation d’une ministre de notre République pourrait parfaitement s’appliquer au Data Protection Officer, le « Correspondant Informatique et Libertés » version GDPR chargé de veiller à la bonne application par son entreprise (ou son client) des règles relatives à la collecte et au traitement des données [personnelles]. On peut reprocher au DPO de ne pas faire correctement son travail (aspect de droit social que je maitrise mal…), mais seule l’entreprise peut se voir infliger des sanctions administratives si, au final, la GDPR n’est pas respectée…

Alors ? Votre entreprise est-elle tenue de désigner un DPO ? La question (comme la réponse) vaut – bien entendu – pour les « responsables de traitement » comme pour les « sous-traitants« .


4 cas de désignation obligatoire 

Ont l’obligation de désigner un Data Protection Officer (i) TOUTES les administrations et tous les « organismes publics », ainsi que (ii) les administrations et les entreprises qui traitent des données sensibles ou des données d’ordre pénal.

3° cas de désignation obligatoire d’un DPO : toutes les entreprises qui procèdent à des « opérations de traitement » (tiens ?! une nouvelle notion ?) « qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes« .

Enfin, 4° et dernier cas de désignation obligatoire : lorsque le droit national d’un Etat membre de l’UE l’impose. Ce n’était pas le cas en France sous le régime de la Directive 95/46. Nous verrons ce qu’il en sera dans l’héxagone avec la prochaine majorité parlementaire.

En dehors de ces 4 cas obligatoires, la désignation d’un DPO par une entreprise relève d’un choix… ça fleur bon déjà le « furieusement » conseillé…

Les missions du Data Protection Officer

Classiquement, le rôle du DPO est de veiller à ce que son entreprise (s’il est salarié) ou son client (s’il est prestataire externe) respecte effectivement les obligations issues de la GDPR. Mais l’UE insiste sur le travail de formation et « d’évangilation » du DPO en matière de protection des données [personnelles]. Nous verrons dans les slides dans quelle mesure.

Je vais vous le dire autrement : le DPO n’est pas un CIL. C’est un véritable lanceur d’alerte qui DOIT intervenir dans l’entreprise. Ce n’est pas lui qui fait, c’est lui qui surveille que tout soit fait correctement au regard de la GDPR.

L’indépendance du Data Protection Officer

Que le DPO soit salarié de l’entreprise ou prestataire externe, il lui est nécessaire de pouvoir assurer ses fonctions en toute indépendance… La GDPR prévoit logiquement une série de conditions sensées permettre au DPO d’accomplir effectivement ses missions, sans encourir les foudres de sa hiérarchie. La GDPR impose une règle simple relative à tout conflit d’intérêts avec d’autres missions que le DPO pourrait également accomplir.

Le rôle central du Data Protection Officer

En synthèse ? Le DPOlorsqu’il en est désigné un – est le point central de l’entreprise pour toute question relative à la collecte et au traitement des données [personnelles]. Il doit être associé à toute décision relative au traitement des données. Il est également le « guichet unique » vis-à-vis de l’Autorité de contrôle (la CNIL) ou des personnes concernées, qu’il s’agisse de communiquer en cas de faille de sécurité / fuite de données, comme de l’exercice par les personnes concernées de leurs droits (accès, rectification, oubli, limitation, etc.).

Surtout ? Le DPO est un véritable lanceur d’alerte et non plus une courroie de transmission entre l’entreprise et la CNIL. Etre C.I.L. était facile (comme ma rime). DPO, c’est franchement autre chose. Apparemment, les entreprises peinent à trouver des salariés pour faire le job. ça sent bon l’externalisation de la fonction…

Non, le travail du DPO ne sera pas un job de tout repos.

Le « tarif » des sanctions pour l’entreprise

Si l’entreprise, responsable de traitement comme sous-traitant, ne respecte pas ses obligations en matière de désignation ou de missions confiées au DPO ? Elle encourt l’ensemble des sanctions administratives au format « 10 millions d’euros / 2% du CA mondial« .

Là aussi, il va falloir être vigilant, sauf à attendre de servir d’exemple pour la CNIL…

Je vous l’avais dit : ça ne rigole plus avec les données personnelles… plus du tout.

Synthèse de la GDPR et audit ?

Maintenant que vous connaissez le « tarif », vous êtes motivé pour vous mettre en conformité ?

Si vous cherchez une synthèse de la GDPR et un début de méthode d’audit, c’est ici qu’il faut cliquer (pour fêter « 1 an » avant l’entrée en vigueur de la GDPR).


Data Protection Officer


Data Protection Officer


 

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ

NOS ARTICLES SUR LE MÊME SUJET

Directive UE résilience des entités CRITIQUES #1/2 : qui et pourquoi ?
5 juin 2023

#474 Directive UE entités CRITIQUES épisode 1/2 : QUI est concerné et POURQUOI ?

  • #analyse de #risque
  • #entités #CRITIQUES
  • #entités #ESSENTIELLES
  • #vidéo+BD
co-construction des mesures de sécurité avec les professionnel(le)s #475 cyber sécurité Directive NISv2 entité essentielle importante © Ledieu-Avocats 2023
1 juin 2023

#475 NISv2 l’ANSSI appelle à la co-construction des mesures techniques avec les professionnel(le)s

  • #entités #ESSENTIELLES
  • #entités #importantes
  • #mesures de #cyber #sécurité
  • #NIS v2
données techniques de cache DNS projet LPM 2023 spécial cyber #6 © Ledieu-Avocats
30 mai 2023

#472 projet de LPM 2023 spécial cyber #6 le droit de copie par l’ANSSI des données de cache DNS

  • #cyber-sécurité
  • #LPM 2023
  • #méta #données #techniques
  • #nom de #domaine

LE BLOG EN BD :
DERNIERS ARTICLES

Directive UE résilience des entités CRITIQUES #1/2 : qui et pourquoi ?

#474 Directive UE entités CRITIQUES épisode 1/2 : QUI est concerné et POURQUOI ?

  • #analyse de #risque
  • #entités #CRITIQUES
  • #entités #ESSENTIELLES
  • #vidéo+BD
co-construction des mesures de sécurité avec les professionnel(le)s #475 cyber sécurité Directive NISv2 entité essentielle importante © Ledieu-Avocats 2023

#475 NISv2 l’ANSSI appelle à la co-construction des mesures techniques avec les professionnel(le)s

  • #entités #ESSENTIELLES
  • #entités #importantes
  • #mesures de #cyber #sécurité
  • #NIS v2
données techniques de cache DNS projet LPM 2023 spécial cyber #6 © Ledieu-Avocats

#472 projet de LPM 2023 spécial cyber #6 le droit de copie par l’ANSSI des données de cache DNS

  • #cyber-sécurité
  • #LPM 2023
  • #méta #données #techniques
  • #nom de #domaine