[27 juin 2018] Si la GDPR n°2016/679 du 27 avril 2016 est entrée en application le 25 mai 2018, voilà près d’un an que les DPO sont à l’ouvrage. Mais quel ouvrage en réalité ? Profitant de l’invitation d’Alter Privacy Solutions qui me demande de faire un point (rapide bien sûr) sur la « réalité du terrain », je vous propose « RGPD-GDPR retour d’expérience sur les missions du DPO ». Et ce retour d’expérience (RETEX pour les férus d’acronymes) est somme toute assez logique.
Je profiterai de ce post spécial DPO pour faire un petit rappel des deux jurisprudences de juin 2018 en matière de protection des données personnelles.
Si l’arrêt de la CJUE du 5 juin 2018 sur la notion de « responsable conjoint » de traitement règle nombre de questions sur « qui doit faire quoi ? » (cliquer ici pour accéder à ma présentation sur le sujet), l‘arrêt du Conseil d’Etat du 6 juin 2018 « Editions Croque Futur » est un véritable tremblement de terre pour les opérateurs de site web qui déposent (ou laissent déposer) des cookies dans les navigateurs de leurs visiteurs / lecteurs / abonnés / users / etc.
Tout cela est détaillé dans le slider juste en dessous. Pour les littéraires, c’est juste après.
[wonderplugin_gallery id= »217″]
RGPD-GDPR retour d’expérience sur les missions du DPO : la théorie de la GDPR
4 des 5 missions du DPO sont relatives à des actions de sensibilisation, de formation ou de centralisation (pour les personnes concernées, les salariés de l’entreprise ou pour l’Autorité de contrôle). C’est la volonté des concepteurs de la GDPR : un homme orchestre pour vérifier la bonne application des textes sur la protection des données personnelles.
RGPD-GDPR retour d’expérience sur les missions du DPO : la réalité des prestations externalisées
DPO interne ? DPO externe ? A part quelques grandes entreprises ou quelques groupes de sociétés, la réalité a conduit à une très large externalisation de la fonction. Alter Privacy Solutions et ses spécialistes vous en parleront mieux que moi !
RGPD-GDPR retour d’expérience sur les missions du DPO : du contrôle à la mise en conformité
Lorsqu’on est une entreprise « normale », pourquoi lancer un chantier (parfois compliqué) de mise en conformité et ensuite faire venir un tiers pour contrôler cette conformité ? Effectivement, les entreprises pragmatiques ont procédé autrement : confier le chantier complet de la mise en conformité à un DPO externe, relayé en interne par une équipe spécialisée.
Et la réalité ? ça marche très bien !!! Car le prestataire externe, auréolé de son obligation d’indépendance, permet de « bousculer » certaines habitudes / inertie / etc. ce qu’une équipe interne à l’entreprise a parfois du mal à faire. Je suis certain qu’un grand nombre de chargé de mission « conformité GDPR » se reconnaitront dans cette affirmation (n’est-ce pas Laurent ?).
RGPD-GDPR retour d’expérience sur les missions du DPO : l’atout des « indications » du DPO
Avec le principe dit « d’accountability », l’entreprise (ou l’organisme public) doit prouver sa conformité. L’entreprise est donc présumée coupable du non respect de la règlementation. Grace au DPO, l’entreprise peut renverser cette charge de la preuve !!! Et ce n’est pas juste moi qui le dit, c’est la GDPR !!! Alors ? Elle est pas belle, la vie ?
BONUS : la jurisprudence CJUE du 5 juin 2018 sur la « responsabilité conjointe »
Résumé en un paragraphe ? Vous demandez à un professionnel de vous transmettre les résultats d’un traitement de données personnelles opéré d’après vos paramétrages ? Vous ne disposez pas de ces données ? Vous n’avez que le résultat statistique du traitement de ces données ? Vous êtes, vous aussi « responsable de ce traitement », conjointement avec le professionnel qui dispose effectivement des données personnelles. car « conjointement », ça veut dire en droit des données personnelles « ensemble avec » ou « pas seul« . Et si vous êtes responsable conjoint ? il faut INFORMER les personnes dont vous traitez les données.
Rappel (désagréable) : le défaut d’information des personnes = sanctions administratives au format 20 millions / 4 % CA…
BONUS : la jurisprudence Conseil d’Etat 6 juin 2018 « Editions Croque Futur »
Ici, on va parler de cookies. Vous savez, les cookies, ces petits fichiers texte si pratiques pour suivre le comportement en ligne des visiteurs de vos sites web… Deux points à retenir de l’arrêt du Conseil d’Etat « Editions Croque Futur » du 6 juin 2018, dont la solution sur le fondement de la Directive 95/46 est parfaitement transposable à la GDPR :
- c’est à l’éditeur du site d’interdire contractuellement à ses partenaires de déposer leur(s) propres(s) cookie(s) dans le navigateur des internautes qui visitent un site web qui n’est pas le leur.
- l’exercice du droit d’opposition au dépôt des cookies ne doit pas être renvoyé par l’éditeur du site web au seul paramétrage du navigateur par les personnes concernées.
La conséquence pratique de l’interdiction de se réfugier derrière les paramètres du navigateur (pratique généralisée depuis 20 ans) ? Il faudrait prévoir dans le site web une fonctionnalité pour que les visiteurs puissent effectivement s’opposer au dépôt des cookies ? ça va en faire des sites web à modifier…