RGPD ?
Depuis le 25 mai 2018, les entreprises et collectivités locales doivent se mettre en conformité avec le nouveau règlement européen de protection des données appelé RGPD. L’impact de ce nouveau règlement est important, et en cas de manquement, les amendes pourront aller jusqu’à 4 % du chiffre d’affaires annuel de l’entreprise concernée ou 20 millions € pour les administrations. Afin d’être en conformité avec les obligations, les points suivants devront être observés :
Le règlement s’applique également en dehors de l’Union Européenne.
Consentement clair, explicite et non ambigu nécessaire.
Obligation d’établir un registre des traitements.
Un nouveau droit à l’oubli : il sera possible à quiconque d’exiger l’effacement de ses données personnelles.
Un nouveau droit à la portabilité des données : les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant dans un format « informatique ».
Un nouveau droit d’opposition au profilage : les personnes ont le droit de s’opposer aux décisions issues de traitements automatisés.
En cas d’incident de cybersécurité affectant les traitements (par exemple vol de données personnelles), il sera obligatoire de notifier l’autorité nationale ad hoc (CNIL en France) ainsi que les personnes concernées.
Pour certains types d’organisation (comme les collectivités locales) ou en cas d’existence de traitements à risque, il faudra nommer un délégué à la protection des données (Data Protection Officer en anglais) qui conseillera le responsable des traitements et sera en liaison avec l’autorité de contrôle.
Les applications qui peuvent avoir des impacts sur la protection de données ou les applications susceptibles d’être à risque devront être précédées d’une analyse d’impact relative à la protection des données (ou DPIA) qui débouchera sur des mesures appropriées.
DPO ?
La nomination d’un DPO est souvent obligatoire, notamment dans les institutions publiques et les entreprises gérant des traitements à grande échelle (entre autres). Quand il ne l’est pas, il reste vivement conseillé et est à voir comme une aide précieuse dans le maintien de votre conformité dans la durée.
Le DPO est avant tout un chef d’orchestre capable de coordonner les actions des différents services en les aidant à atteindre leurs objectifs tout en restant conformes avec la réglementation.
Le rôle du DPO est complexe. Outre d’excellentes connaissances en informatique et en cybersécurité, il doit avoir une bonne culture juridique, notamment en droit des nouvelles technologies. Il est aussi un excellent communicateur et un négociateur confirmé.
Le DPO doit assurer au minimum les missions décrites dans le règlement :
Informer et conseiller sur toutes les questions du RGPD
Contrôler la bonne application du règlement
Vérifier les DPIA (Data Protection Impact Assesment)
Être le point de contact de l’autorité de contrôle
Gérer les plaintes et les litiges des personnes concernées
Est consulté systématiquement dans l’obligation du « privacy by design » et « privacy by default »
Est consulté lors de violation des données (fuites…)
Mais ce n’est pas limitatif : vous pouvez confier à votre DPO d’autres tâches pour autant qu’elles ne rentrent pas en conflit avec ses missions obligatoires.