Le DPO a vocation à sécuriser l’activité de l’entreprise en matière de données personnelles

Le DPO assure le respect des exigences juridiques relatives à la protection des données personnelles. Dans ce cadre, il est un élément central de la conformité aux principes d’Accountability, de Privacy by design ainsi que de Privacy by default.

Nouveau principe mis en place par le Règlement, l’Accountability désigne le fait d’être en capacité de démontrer à tout moment sa conformité aux règles relatives à la protection des données personnelles. Pour la CNIL, cela consiste en la mise en œuvre de « mécanismes et de procédures internes ». Le DPO doit réaliser des audits, mettre en place d’un process de notification en cas de violation des données, un process de gestion des réclamations et des plaintes, etc.

Le principe de Privacy by design implique aussi directement le DPO. Celui-ci doit obligatoirement être associé aux stratégies de développement de nouveaux services ou produits qui traitent de données personnelles pour que dès la conception de ceux-ci, la problématique des données personnelles soit prise en compte.

Le DPO est en outre central dans le respect du principe de Privacy by default. Il doit faire en sorte que les traitements des données se limitent à ce qui n’est que strictement nécessaire : nombre de données collectées, durée de conservation ou personnes habilitées à accéder aux données.

Le DPO est un point d’ancrage

« Désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données »

Le DPO est un point d'ancrage pour l'organisation

C’est en cela que le règlement apporte un changement. Le DPO est un spécialise en matière de collecte et de traitement des données, et apparait comme devant être beaucoup plus formé sur le pan juridique que ne l’était le CIL. Sa mission dépasse le simple conseil, il doit s’assurer de la conformité à la réglementation en matière de données personnelles, et cela à tous les niveaux. Dans ce cadre, il collabore avec toutes les directions de l’entreprise : Marketing, Juridique, Informatique, Ressources Humaines et Direction financière et de l’audit interne.

Il est aussi le point d’entrée de la CNIL lorsque celle-ci s’adresse à l’entreprise concernée. C’est notamment vers lui qu’elle se tournera en cas de contrôle.

La désignation d’un DPO : une obligation généralisée ? 

La désignation d'un DPO est peut-être une obligation généraliséeAvec le règlement, la désignation d’un DPO devient obligatoire pour certaines entreprises : celles du secteur public, celles dont les activités les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle et celles qui traitent de données sensibles ou relatives à des condamnations pénales ou infractions. Le G29 (Groupe de travail de l’Union Européenne sur les données) est venu apporter des précisions concernant les organismes touchés par cette obligation de désignation, et a adopté une approche extensive du règlement. A une époque où la donnée est au centre de l’économie, il apparait que ces catégories intègrent la plus part des entreprises.

Quels sont ces critères?

Le traitement doit consister en une activité de base de l’entreprise, et non une activité annexe. En cela, il faut comprendre que seules les opérations clés nécessaires au responsable de traitement ou sous-traitant pour atteindre ses objectifs sont concernées. A titre d’illustration, une entreprise dont l’activité porte sur la publicité ciblée grâce au profilage de clients aura l’obligation de désigner un DPO. A l’inverse, une entreprise qui ne traite des données que dans le cadre des fonctions supports, comme pour le recrutement, n’y sera pas obligée.

Le traitement doit être réalisé à grande échelle. Pour le G29, cela repose sur le nombre d’individus concernés, le volume de données et/ou les différentes catégories de données traitées, la durée, la permanence du traitement et l’étendue géographique du traitement. En réalité, cela concerne donc les grandes entreprises comme les données traitées par les fournisseurs d’accès à internet.

Le traitement doit impliquer un suivi systématique et régulier des personnes, ce qui est très largement entendu par le groupe de travail européen. La notion de « régulier » peut être caractérisée par des « intervalles particuliers ou à des périodes particulières, le suivi récurrent ou répété à des moments fixes, le suivi intervenant de façon constante ou périodique ». La notion de « systématique » est entendue par un « suivi intervenant via un système, ou selon une organisation ou une méthode, un suivi intervenant dans le cadre d’un plan plus général de collecte de données, ou un suivi mené dans le cadre d’une stratégie ».Cela inclut donc un très large panel d’activités allant des objets connectés (voitures, santé, etc.) au suivi de la localisation via des applications mobiles, en passant par le profilage et la publicité ciblée.

 

L’externalisation du DPO : un bénéfice à considérer 

L'externalisation du DPO est un bénéfice à considérerL’une des qualités dont doit bénéficier le DPO est celle de l’indépendance vis-à-vis de l’organisation. En effet, l’article 38 (3) du GDPR dispose que « le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions ». Si le DPO est déjà titulaire d’un poste cette limite peut facilement être dépassée. De plus, lorsqu’il exerce ses fonctions en interne, le DPO peut être amené, ou a pu être amené par le passé, à effectuer d’autres taches qui pourraient entrainer des conflits d’intérêts, ce que prohibe l’article 38 (6). Par exemple, un DPO qui est aussi DSI et qui a supervisé la sécurité des systèmes d’information peut se retrouver en conflit d’intérêts lorsqu’il doit mettre en œuvre une étude d’impact.

Dans ce cadre, l’externalisation du DPO peut être un moyen qui permet de garantir l’indépendance de celui-ci, et donc de se conformer à la réglementation.

Un commentaire sur “DPO : comment et pourquoi y avoir recours ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *