27/10/16

Nouveau règlement sur les données personnelles : le délégué à la protection des données

holding privacy settings smartphoneLe 25 mai 2018, tous les organismes publics et privés devront avoir mis en place l’ensemble des moyens techniques et organisationnels prévus par le règlement européen sur la protection des données personnelles.

Dans l’épisode précédent, nous vous présentions le principe d’Accountability, mettant en œuvre des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

Découvrez aujourd’hui le 3e épisode : Saison 1, épisode 3 : Le délégué à la protection des données

Le Règlement crée la fonction de délégué à la protection des données ( DPD » ou « DPO » en anglais)*. Son rôle et ses missions en font une des chevilles ouvrières et le pivot dans la mise en place des principales dispositions novatrices du Règlement. En France il sera le digne et naturel successeur** du Correspond Informatique et Libertés (CIL). A la fois facilitateur, contrôleur et conseil, son profil exige de fortes connaissances juridiques et une implication au niveau le plus élevé dans la structure qui l’a nommé.

Qui doit obligatoirement les nommer ?

La distinction fondée sur la taille ou le nombre d’employés a disparu dans le texte définitif. Le Règlement opère désormais une distinction entre la nature des organismes et les type d’activités.

Ainsi d’une part les autorités publiques ou un organisme public, (à l’exception des juridictions), quel que soit le traitement des données opéré, devront nommer leur DPD. En revanche, pour les organismes privés les DPD seront seulement obligatoires en fonction de la nature et de l’envergure des traitements, mais sans préciser ici encore de seuil quantitatif, ce qui laisse à tout le moins des marges d’interprétation certaines.

En effet, le Règlement dispose que seuls emportent la nomination obligatoire du DPD :

  • les traitements qui par leur nature ou leur portée ou finalités exigent un traitement régulier et à grande échelle de personnes concernées, ou
  • les traitements à grande échelle de données sensibles et des infractions.

Quels sont son rôle et sa mission ?

Le DPO reprend l’ensemble des fonctions déjà dévolues au CIL « plein galons ». Ainsi :

  • il informe et conseille le responsable de traitement et le sous-traitant sur toute question se rapportant aux dispositions du Règlement ;
  • il contrôle l’application du Règlement (en ce compris toutes les mesures relatives à la mise en place d’une bonne gouvernance notamment les code de procédure interne pour rendre effectif par exemple l’accountability évoquée précédemment dans l’épisode 2) ;
  • il conseille le responsable de traitement et le sous-traitant sur les études d’impact ;
  • il coopère avec l’autorité de contrôle et devient son point de contact privilégié.

Un positionnement remarquable au sein de l’organisme

Le Règlement lui accorde les moyens de ses missions : tout d’abord le responsable de traitement et le sous-traitant doivent fournir au DPD les ressources nécessaires pour exercer sa mission et un accès total aux opérations de traitement). Le DPD doit être associé utilement à toutes ces opérations. Dit autrement, il doit pouvoir exercer ses missions de manière pleinement autonome.

D’autre part, l’indépendance, qui existait déjà pour le CIL est ici soulignée par le fait qu’il ne pourra recevoir aucune instruction dans l’exercice de sa mission, mais également qu’il est soumis au secret et qu’enfin son choix devra se porter sur une personne (ou structure) libre de tout conflit d’intérêt.

Le DPD rapportera dans l’exercice de ses missions « au plus haut niveau de la direction du responsable de traitement ou du sous-traitant » ce qui, au vu de quelques exemples rapportés par l’AFCDP, impliquera un rapport direct avec par exemple le Secrétaire Général ou les Directeurs Généraux ou d’autres membres dirigeants de l’organisme.

Conséquence logique de ces droits et devoirs significatifs, le profil cible du DPD répondra à une double exigence : une connaissance et proximité technique avec les systèmes d’information mais aussi et peut être surtout une expertise reconnue en droit de la protection des données).

Enfin il convient aussi de signaler que le DPD peut être mutualisé ou externalisé à l’instar des CIL.

Pour conclure, le DPD va exercer « un vrai métier » plus qu’une fonction. Dans un souci de transparence et de confiance vis-à-vis des clients ou partenaires, sa nomination devrait largement dépasser les organismes ou les traitements qui rendent sa présence obligatoire. Il convient donc dès maintenant d’anticiper sa désignation.
____________________________________

* Article 37 et suivants du Règlement
** Cf. le Secrétaire générale de la CNIL qui indiquait lors du congrès annuel de l’Association Française des Correspondants en Données Personnelles (AFCDP) en 2015.

 

A suivreDans le prochain épisode, nos experts analyseront les enjeux pratiques liés à l’obligation de notifier les failles de sécurité .

Retrouvez ici notre site internet dédié à la protection des données personnelles.

Lire aussi :
Données personnelles – Episode 2 : l’établissement de normes internes protégeant les données à caractère personnel ou « Accountability »
Découvrez notre série de la rentrée : « LES EXPERTS : Données personnelles »


Mots-clés : , , , , ,


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *