Le Règlement Général sur la Protection des Données sera applicable pour l’ensemble des organismes publics et privés européens à partir du 28 mai 2018. La mise en conformité est une inquiétude pour beaucoup d’entreprises, dont certaines n’avaient jusqu’à présent pas eu besoin de se pencher sur ce sujet.

La CNIL, Commission Nationale de l’Informatique et des Libertés, a publié sur son site 6 étapes pour se préparer efficacement. La première consiste à désigner un pilote du projet, celui qui deviendra à partir de 2018 le « DPO », Data Privacy Officer. La création de ce poste est l’un des éléments centraux du projet, et le G29 (Groupe de travail Article 29 sur la protection des données) a sorti des lignes directrices pour accompagner les organisations à sa mise en place. En voici les principaux éléments.

Le rôle du DPO dans le RGPD

Le Data Privacy Officer est le point de contact avec les sujets dont les données sont traitées, et avec l’autorité de contrôle, avec qui il coopère (en France, c’est la CNIL). Mais surtout, il a pour tâche de vérifier la conformité de son organisation avec le RGPD. Pour ce faire, il doit identifier les actions de traitement réalisées, les analyser et vérifier leur conformité, et utiliser ces résultats pour informer, conseiller et faire des recommandations à son organisation. Il doit adopter une approche basée sur le risque pour prioriser ses activités, justement, selon le niveau de risque.

Le DPO n’est cependant pas légalement responsable de la conformité de son organisation : c’est bien l’entreprise ou l’organisme public lui-même qui l’est. Le DPO conseille donc, et peut intervenir sur certaines actions (participation aux études de risque, maintien de la documentation), mais seule l’organisation elle-même prend la décision d’appliquer ou non ses recommandations. Si ces dernières ne sont pas suivies, il est recommandé de documenter les raisons de cette décision afin de pouvoir la justifier si besoin, et montrer que les risques sont identifiés et pris en compte.

Le DPO, pour qui ?

Nomination obligatoire du DPO pour certains organismes

La désignation d’un DPO (embauché au sein de l’entreprise, en sous-traitance ou par partenariat) est obligatoire pour les organismes publics, tels que définis par les lois nationales des pays de l’Union Européenne. Elle est également très vivement conseillée dans les Organismes d’Importance Vitale, dont la majorité tombe par ailleurs dans l’autre catégorie d’organisation devant nommer un DPO.

L’appartenance à cette catégorie dépend de l’activité de base de l’entreprise, c’est-à-dire les actions nécessaires à la réussite de l’objectif premier de l’entreprise. Ainsi, le traitement de données dans le cadre du fonctionnement normal de l’entreprise, comme la paie par exemple, n’entre pas en compte. L’organisation doit donc désigner un DPO si cette activité de base requiert, à grande échelle, un suivi régulier et systématique des personnes, ou le traitement de données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Ici, est considéré comme régulier un suivi continu ou ponctuel, récurrent ou itératif, étant en cours ou se produisant pendant des périodes données. Est considéré comme systématique un suivi prévu, organisé ou méthodique, causé par un système, ou prenant part à un plan général de récupération de données ou à une stratégie globale.

Pour définir ce qu’est « à grande échelle », le G29 conseille d’étudier le nombre de personnes concernées, le volume des données, la durée de l’activité de traitement et son périmètre géographique. Par exemple, le traitement de données pour de la publicité ciblée rentre dans ce cadre de « grande échelle ».

Le cas de la sous-traitance du traitement des données

En cas de sous-traitance du traitement des données, on nomme « processeur » l’entreprise qui traite les données, et « contrôleur » celle qui détermine les moyens utilisés pour le traitement et son objectif. Le RGPD n’exige pas la présence de deux DPO, même si c’est une bonne pratique.

Pour les autres : choisir un DPO ou non ?

Si vous ne retrouvez pas votre organisation dans ces critères, alors la nomination d’un DPO n’est pas obligatoire. Elle est cependant très conseillée ! Mais toutes les organisations ne peuvent pas se permettre d’embaucher un DPO à temps plein : d’autres options sont donc disponibles.

Il est ainsi possible de mutualiser un DPO, à la condition qu’il soit facilement accessible par l’ensemble des organisations qu’il sert, et qu’il ait assez de ressources pour réaliser toutes ses tâches. Il peut également exercer son activité de DPO à temps partiel, tant que ses autres fonctions ne causent pas de conflit d’intérêt.

Si une organisation décide de ne pas nommer de DPO, il est conseillé de documenter cette décision afin de montrer que les risques et facteurs principaux de la RGPD ont bien été pris en compte. Il reste ensuite possible d’employer des consultants dont le rôle s’en rapprocherait, mais il doit être alors clairement spécifié que ce ne sont pas des DPO.

Le cadre de travail du DPO

Les organisations choisissant un DPO doivent lui permettre d’être autonome et indépendant, pour pouvoir réaliser efficacement les tâches qui lui incombent. Il ne peut ainsi pas se retrouver dans une position de conflits d’intérêts : il doit avoir le support de l’équipe de direction, mais ne peut pas en faire partie. L’organisation doit s’assurer que le DPO ne reçoive « aucune instruction concernant l’exercice de sa(ses) tâche(s) », comme par exemple une obligation de résultat ou de méthode de travail. Cela passe également par le fait qu’il ne puisse pas être sanctionné à cause de ses décisions ou propositions.

En parallèle, il doit bénéficier d’assez de ressources (temps, budget, équipe, infrastructure) et d’un bon partage d’information (accès aux autres services, présence dans les réunions de middle et senior management). Le DPO doit notamment être inclus, dès leur commencement, dans tous les sujets liés à la protection des données pour avoir une vision d’ensemble et proposer des solutions efficaces. La formation continue est également un élément important lui permettant de se maintenir à la page.

Enfin, le DPO doit être clairement identifié, à la fois en interne par les membres de l’organisation, et par les personnes susceptibles de voir leurs données traitées. Le contact direct du DPO doit ainsi être accessible publiquement, en plus d’être communiqué à l’autorité de contrôle. Cela lui permet d’être contacté en toute confidentialité.

Comment choisir un DPO ?

Le Data Privacy Officer doit être avant tout intègre et éthique, de par sa position. Il est important d’avoir une bonne connaissance des lois de protection des données et une bonne compréhension de la RGPD, ce qui requiert des compétences légales.

Mais des compétences techniques sont également nécessaires, pour comprendre comment fonctionnent les opérations de traitement, les systèmes et les besoins en sécurité de l’organisation. Le niveau technique requis du DPO augmente naturellement avec la complexité et le volume des données traitées.

Il n’existe donc pas de profil type pour le poste de DPO, même si des formations sont déjà proposées. Les organisations peuvent proposer de la formation technique à des avocats ou juristes, et inversement, pour trouver rapidement un candidat à ce poste.

 

Retrouvez le texte initial en cliquant ici (en anglais uniquement) : https://www.cnil.fr/sites/default/files/atoms/files/guidelines_on_dpos_5_april_2017.pdf

Préparez-vous à la RGPD en suivant les étapes de la CNIL :
https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes

Lucie Saunois
Lucie Saunois
Passionnée d'informatique, en particulier de sécurité, depuis qu'elle a rejoint l'OT Group en 2015, Lucie se spécialise dans la vulgarisation technique pour permettre à tous d'appréhender ces sujets parfois complexes.