Contactez-nous
Par Marine Gervasoni

RGPD : dans quels cas nommer un délégué à la protection des données ?

31 mai 2018 RGPD

Le nouveau règlement général sur la protection des données - plus connu sous le nom de RGPD - est entré en vigueur le 25 mai 2018 dans tous les pays membres de l'Union européenne. De nombreux articles de "décryptage" sont depuis accessibles. Le règlement européen sur la protection des données à caractère personnel prévoit la mise en oeuvre de nombreuses mesures au sein des entreprises / organisations. La plupart des conseils dispensés sur la conformité au RGPD prévoient dans un premier temps la nomination d’un délégué à la protection des données (DPD) ou Data Protection Officer (DPO)Cependant un délégué à la protection des données n’est pas obligatoire dans toutes les sociétés, êtes-vous concerné ?


rgpd gdpr protection des données

Le rôle du Délégué à la Protection des Données (DPD)

Dans ses diverses publications, la CNIL emploie le terme de « Chef d’orchestre » pour désigner le Délégué à la Protection des données (DPD / DPO). En effet, cette personne interne ou externe aux structures dans lesquelles il est désigné est le garant de la conformité au RGPD. En cas de non respect au RGPD, les entreprises peuvent se voir infliger de lourdes amendes.

Un DPD exerce des missions d’informations, de conseil et de contrôle interne... Il est chargé notamment :

  • D’informer et de conseiller les responsables de traitement, les sous-traitants et les collaborateurs impliqués dans le traitement de données à caractère personnel ;
  • De contrôler le respect du règlement ;
  • De conseiller l’organisme sur la réalisation d’études d’impact et d’en vérifier l’exécution ;
  • De coopérer avec l’autorité de contrôle et d’en être l’interlocuteur privilégié (pour la France, l’autorité de contrôle est la CNIL).

Le délégué à la protection des données peut être une personne interne ou externe à l'entreprise. Il peut également être mutualisé ; cette option est pertinente entre les différentes entités d’un groupe qui bénéficieront alors de la mise en place d’une politique commune.

Le délégué à la protection des données nommé et l’organisme ou l’entreprise doivent établir un véritable travail d’équipe. L’entreprise devra fournir au DPD/DPO l’ensemble des éléments nécessaires à l’accomplissement de ses missions et devra l’introduire à chaque étape d’un projet impliquant la gestion et/ou le traitement des données à caractère personnel.

De son côté le délégué à la protection des données assurera entre autres, des missions de conseil et de sensibilisation régulières auprès de l’ensemble du personnel.

La gouvernance de données est devenu un enjeu majeur pour les entreprises et les responsables SI. Il devient nécessaire d'identifier et de maîtriser l'ensemble des données stockées dans un système d'information pour mieux les exploiter, les rendre accessibles, utilisables et sécurisées.

A lire : RGPD et messagerie professionnelle, quelles conséquences ?

DPD / DPO : une désignation obligatoire ?

La désignation d’un Délégué à la protection des données et obligatoire pour :

  • Les autorités et organismes publics ;
  • Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ;
  • Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Le cadre de ces obligations laisse de nombreuses organisations dans le flou… notamment : « Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ».

A la lumière des précisions du G29, on comprend que les grands groupes sont concernés par ces obligations mais aussi certaines PME, dans le cas où :

  • Elles collecteraient des données à caractère personnel ;
  • Que le traitement de ces données serait régulier et systématique ;
  • Dans un secteur d’activité particulier (recherche et profilage sur Internet, E-commerce, opérateur réseau télécom, fournisseurs de services de télécommunications, publicité comportementale, géolocalisation, appareils connectés…) ;
  • A grande échelle (aucun seuil minimal n’a encore été publié par les autorités !)
  • Et dans le cas où cela serait leur activité principale.

Si votre PME remplit tous ces critères vous êtes donc dans l’obligation de désigner un DPD.

Afin d’éclaircir cette notion de « grande échelle », le G29 dont la CNIL fait partie, donne quelques exemples de traitements :

  • Traitement des données de patients par un hôpital dans le cadre du déroulement normal de ses activités ;
  • Traitement des données de voyage des passagers utilisant un moyen de transport public urbain ;
  • Traitement des données de clients par une compagnie d’assurance ou une banque dans le cadre du déroulement normal de ses activités ;
  • Traitement des données à caractère personnel par un moteur de recherche à des fins de publicité ;
  • Traitement des données (contenu, trafic, localisation) par des fournisseurs de services de téléphonie ou internet…

A contrario le G29 précise également les traitements ne rentrant pas dans le cadre de cette notion de « grande échelle » :

  • Traitement, par un médecin exerçant à titre individuel, des données de ses patients ;
  • Traitements des données à caractère personnel relatives aux conditions pénales et aux infractions par un avocat exerçant à titre individuel…

Qui peut être désigné délégué à la protection des données ?

Pour rappel, le Délégué à la Protection des Données (ou Data Protection Officer) peut librement être choisi par un organisme. Il peut s’agir d’un membre interne à l’organisation (tant que ces missions de délégué à la protection des données ne représentent pas de conflits d’intérêt avec ses autres missions) ou d’un tiers (personne physique ou morale) proposant ses services de DPO externalisé.

RGPD : comment désigner votre DPD / DPO ?

La désignation du Délégué à la Protection des Données se fait directement sur le site de la CNIL. Cependant, assurez-vous qu’il dispose du statut et des compétences nécessaires pour assumer ce rôle :

  • A-t-il une expertise juridique et technique en matière de protection des données personnelles ?
  • A-t-il une bonne connaissance de votre secteur d’activité, de votre organisation interne, des systèmes d’information, des besoins en matière de protection et de sécurité des données ?
  • Dispose-t-il du temps suffisant pour exercer ses missions ?
  • Bénéficie-t-il des moyens matériels et humains adéquats ?
  • Peut-il disposer de moyens matériels et humains adéquats ?
  • Est-il associé en amont à des projets impliquant des données personnelles ?
  • Est-il facilement joignable par les personnes concernées ?
  • A-t-il la capacité d’agir en toute indépendance ?

Quelles différences entre le CIL et le Délégué à la Protection des Données ?

Certains désignent le Délégué à la protection des données comme le successeur logique du CIL (Correspondant Informatique et libertés) qui veille à la sécurité juridique et informatique de son organisme, conformément aux préconisations de la loi « informatique et libertés ».

Le RGPD ayant été créé pour uniformiser l’ensemble des lois européennes, le DPD peut donc succéder au CIL. Bien que bénéficiant d’un statut similaire, le règlement européen précise toutefois des exigences en matière de qualifications et de formation continue pour les DPD.

Nomination d'un DPD, pour quels coûts ?

Cette profession étant récente, il n’existe pas encore de grille de rémunération. La seule affirmation que nous ayons est que la nomination d’un délégué à protection des données représente un coût certain. 

Si le DPD est interne à l’entreprise, sa rémunération à ce titre sera à ajouter à celle perçue pour ces autres missions. Si le DPD est externe à l’organisme son coût variera selon le secteur d’activité, le volume de données traitées, leur nature et le niveau de sécurité nécessaires à leur protection.   

Une fois nommé, par où le DPO va-t-il commencer ?

Nous avons précédemment évoqué les missions principales du Délégué à la protection des données. Plus concrètement, pour donner suite à sa nomination voici les actions qu’il va devoir mener :

  • S’informer : le DPD va devoir rassembler la documentation juridique essentielle à la réalisation de ses missions (le texte du règlement lui-même, les lignes directrices, les fiches pratiques…) et organisera une veille documentaire sur les sujets touchant aux données personnelles et à la sécurité des systèmes d’information… afin par la suite d’assurer la continuité de la conformité.
  • Se faire connaître : une de ses missions principales sera de sensibiliser le personnel au traitement des données à caractère personnel. Il devra donc s’assurer d’être connu et d’être facilement joignable pour toutes les questions relatives au traitement des données à caractère personnel. Il pourra élaborer un plan de communication interne et rencontrer les différents interlocuteurs qui pourront l’aider dans l’accomplissement de sa mission.
  • Accompagner : vient ensuite le temps de « rentrer dans le vif du sujet » en cartographiant les traitements de données à caractère personnel, en priorisant les actions à mener, en préconisant des solutions pour minimiser les risques, en élaborant des procédures internes de traitements, stockage et sécurisation des données, en rédigeant les documents règlementaires de conformité et en réalisant des démarches « au quotidien » pour assurer la continuité de la conformité.
  • Piloter la conformité : le DPD animera régulièrement son réseau interne et externe (sous-traitant) afin de mettre en lumière les éventuelles difficultés rencontrées et proposer des solutions et « bonnes pratiques ». Le travail de sensibilisation sera continu afin d’initier une réflexion globale pour une meilleure gestion de ces données. Il pourra par exemple rédiger des fiches pratiques, des vidéos de présentations et de sensibilisation…

Le Délégué à la Protection des données aura le rôle complexe d’assurer une conformité interne de la gestion des données pour que des citoyens européens concernés puissent exercer l’ensemble des droits qui leurs sont conférés par le Règlement Général sur la Protection des données.

Même si votre organisation n’est pas formellement dans l’obligation de désigner un Délégué à la Protection des Données, la CNIL préconise tout de même de désigner une personne qui sera chargée de s’assurer de votre conformité. Désigner un pilote représente un atout majeur pour comprendre et respecter les obligations du RGPD, et ainsi réduire les risques de contentieux.

En tant que responsable, garante de la protection des données des citoyens français, la CNIL déclarait au mois d’octobre dernier n’avoir reçu que 16 000 déclarations de DPO sur les 80 000 obligatoires estimées. Selon l’autorité de contrôle, la nomination d’un DPD ou à minima d’un pilote interne serait la clé de voûte de la conformité d’une entreprise au Règlement européen sur la protection des données.

Source : www.cnil.fr

cover-ebook-rgpd-mise-en-conformite-96dpi
eBook RGPD : décryptage de la nouvelle règlementation et mise en conformité TÉLÉCHARGER