Comment désigner son DPO (Délégué à la Protection des Données RGPD) ?

Délégué à la Protection des Données DPO RGPD

Dès le 25 mai 2018 le RGPD – GDPR sera appliqué à toutes les entreprises détenant ou traitant des données personnels, avez-vous désigné votre DPO ? Sur quelles bases ? Petit résumé pour mener au mieux ce grand chambardement dans les organisations.

Les qualités indispensables d’un délégué à la Protection des données (DPO)

Le Règlement Général de la Protection des Données (RGPD – GDPR) définie par l’Union Européenne, sera mise en œuvre le 25 mai 2018. Le règlement exige à ce que les entreprises créent un nouveau poste intitulé Délégué à la Protection des Données (DPO / Data Protection Officer). Cette personne doit bien connaitre le sujet, être très efficace et très accessible.

  • Votre entreprise a-t-elle besoin un DPO ?
  • Quelles sont les responsabilités du DPO et de la société dans le cadre du RGPD ?
  • Quelles qualités et capacités devriez-vous vous rechercher chez un DPO ?

Le RGPD est un règlement radical et plus largement impactant sur le long terme. Ce texte complexe, étant composé de 99 articles où les amendes en cas de non-respect sont coûteuses : jusqu’à 4 % du revenu global ou 2 0000 000€ selon le barème le plus élevé.

RGPD : des inconnues, des contraintes et quelques avantages :

Bien qu’il existe potentiellement certains avantages au RGPD si vous prenez la vision à long terme : accroître la confiance du consommateur, facilité de partage de l’information au sein du système, meilleure gestion des données privées. Les analystes dans la plupart des industries anticipent une période de bouleversement, alors que les entreprises tendent à viser la conformité.

Comme toute nouvelle loi, celle-ci n’est pas encore testée. Certaines définitions de phrases clés n’ont pas encore été fournies ou pas encore testées devant les tribunaux. Les avocats vont plaider sur des points clés pendant des années jusqu’à ce que nous établissions une bonne compréhension de la majeure partie du RGPD.

Les entreprises du monde entier sont concernées

Mais ne pensez pas que parce que votre entreprise n’est pas établie en UE alors le RGPD ne s’applique pas à vous.

Si votre entreprise dispose de données sur n’importe quel citoyen de l’UE, peu importe où votre entreprise se trouve, que les données se trouvent ou où ce citoyen arrive à résider, le RGPD s’applique toujours à vous.

Si vous êtes une entreprise basée au Zimbabwe, stockage de données aux États-Unis sur des serveurs Azure, sur une personne qui vit en Chine, mais cette personne est ressortissante de Norvège,  le RGPD s’applique toujours à vous…

Mais commençons par ce que nous savons jusqu’ici, de quoi retourne le texte RGPD dans le texte lui-même.
(Si vous avez la responsabilité de la mise en conformité pour votre entreprise, je recommande de lire les articles clés du RGPD, ils sont étonnamment simple… Une excellente ressource est EUR-Lex qui fournit le texte source de toutes les lois de l’UE en 24 langues, mais comme il y a à peu près tout, c’est un peu difficile d’y naviguer. Les sites EUGDPR.org et Privacy-Regulation.eu sont un peu plus lisibles et consultables.)

DPO RGPD / GDPR 25 mai 2018

Votre entreprise a besoin un DPO ?

L’Article 37 du RGPD précise que l’entreprise « doit désigner un DPO », où : « les activités de base » se composent de traitement « catégories particulières de données » à « grande échelle ». Eh bien, cette phrase est juste pleine de subtilité dans ces définitions :

  • Activités de base : Ce n’est pas bien défini. Mais les avocats de l’UE qui bloguent actuellement sur le sujet ont tendance à interpréter cela de manière générale. Ainsi, même si vous suivez l’activité des utilisateurs sur votre site Web afin de mieux délivrer des services ou de la publicité, cela est susceptible d’être inclus.
  • Catégories particulières de données : Celui-ci est assez bien défini dans l’Article 9 , mais pour résumer : les données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’affiliation syndicale et le traitement des données génétiques, les données biométriques aux fins d’identifier de manière univoque une personne physique, les données concernant la santé ou des données concernant une personne physique, la vie sexuelle ou l’orientation sexuelle.
  • A grande échelle : Personne n’est d’accord là-dessus. Les blogueurs juridiques recommandent de considérer cela avec la plus grande prudence et que si vous stockez les données à caractère personnel sur n’importe quel client, vous devez désigner un DPO. Le temps et l’avis de la Cour permettra de clarifier ce point.

Alors si vous étudiez l’Article 37 avec votre avocat. Si le responsable de traitement vous audite et conclut que vous devriez avoir un DPO alors que vous n’en avez pas, vous pouvez être soumis à une amende de 2 % du revenu global ou €10 000 000, soit le montant le plus élevé. [Article 83]

Quelques points pour faciliter la désignation du DPO :

  • Un groupe d’entreprises peut nommer un seul DPO, à condition qu’un DPO soit facilement accessible à partir de chacun. Si vous avez un groupe d’entreprises liées ou si vous êtes la société mère d’un certain nombre d’entreprises enfants, vous pouvez avoir un DPO
  • Le DPO est autorisé à être une tierce partie. Je prévois que les cabinets d’avocats et les sociétés de cyber sécurité de l’UE se doteront de capacités de DPO externalisées. De telles offres peuvent être particulièrement attrayantes pour les petites et moyennes entreprises.

Quelles sont les responsabilités du DPD et de l’entreprise ?

Selon l’article 38 du GDPR, le délégué à la protection des données « doit rendre compte directement au plus haut niveau de direction » de la société.

La visibilité et la structure de reporting ont été le fléau de l’industrie de la sécurité de l’information pendant des années. Lorsque le RSSI signale plusieurs niveaux, parfois en deçà du CIO (conflit d’intérêts direct) ou encore plus bas dans l’organisation, la sécurité n’a pas de voix auprès de la haute direction. C’est ce qui a conduit le monde à ce que nous connaissons maintenant avec des violations signalées quasi quotidiennement. La priorité n’a tout simplement pas été là. Eh bien, GDPR ne reproduit pas cela. Le délégué à la protection des données doit faire son rapport au chef de la direction, au président ou au conseil. A ce niveau, le problème ne pourra pas être enterré.

Et même plus que cela, « les organisations doivent soutenir le DPO en fournissant les ressources nécessaires pour effectuer les tâches requises et maintenir ses connaissances d’expert ».

Le DPO doit donc être correctement financé, doté en personnel et formé.

Quoi !? Nous avons passé des années à ignorer cela pour la sécurité, mais il semble maintenant qu’ils vont exiger que les choses soient faites de la bonne manière. Ce qui est génial pour la sécurité aussi. Une définition intéressante de la sécurité est « les méthodes techniques et procédurales pour assurer la confidentialité ».

L’Article 39 du RGPD répertorie les principales responsabilités du DPO :

  • Pour informer et conseiller le responsable de traitement ou le sous-traitant et les employés qui effectuent le traitement de leurs obligations
  • Pour contrôler le respect du RGPD
  • D’agir comme le point de contact à l’autorité de tutelle sur les problématiques
  • Aussi, les personnes concernées doivent être en mesure de contacter le DPO pour des problèmes et leurs résolutions [Art. 38]

Quelles qualités et capacités devriez-vous rechercher chez un DPO ?

  • Une personne avec une très bonne expérience dans votre organisation et dans ce qu’elle fait
  • Une personne avec une très bonne expérience des cadres réglementaires/vie privée
  • Une personne crédible auprès du Conseil d’administration, PDG et régulateurs
  • Une personne accessible et qui vient en soutien des personnes concernées
  • Une personne qui comprend assez bien la sécurité pour apporter des initiatives d’amélioration privée
  • Une personne ayant suivi une ou plusieurs formation sur la RGPD et sa mise en oeuvre

Alors… autant chercher une aiguille dans une botte de foin !

La source probable de la première génération de DPO :

La plupart des organisations vont probablement désigner une ressource senior  interne qui connaît bien votre entreprise et qui a une expérience sur la règlementation, une personne de la direction générale, juridique, audit, etc. Une personne qui a la « plupart » des qualités nécessaires.

Soyez honnête dans votre évaluation de l’ensemble des compétences de votre nouveau DPO. 

Le DPO aura besoin des informations fraîches, des compétences et des outils pour couvrir ces éléments qu’ils ne possèdent pas encore, et du soutien des membres du personnel.

Découvrez nos formations  RGDP.

publié le 06/03/2018