Le 25 mai 2016 le « RGPD » ou « GDPR » en anglais sera applicable dans l’ensemble des états de l’Union Européenne.
Il reste 350 jours ouvrés.
Au-delà de l’évolution des dispositions juridiques applicables qu’entraine toute nouvelle réglementation, le Règlement traduit surtout un bouleversement dans l’approche de la protection des données.
Le 13 décembre 2016; le groupe de travail regroupant les autorités de protection des données européennes a émis ses premières lignes directrices portant notamment sur le Délégué à la protection des données.
GDPR: la question n’est pas « quoi » mais « comment » ?
Traditionnellement, dans la plupart des cas en France, ce domaine relevait jusqu’à présent du périmètre du service juridique. Depuis l’adoption de la loi Informatique et libertés en 1978, la « conformité CNIL » se résumait pour un certain nombre d’organisations à la réalisation de déclarations auprès de la CNIL et aux mentions d’information des personnes sur leurs droits d’accès et d’opposition au traitement. A partir de 2004 et à la suite de l’implémentation en France de la directive européenne de protection des données, les organisations ont pu désigner un Correspondant Informatique et Libertés (CIL) afin de veiller au respect des obligations prévues par la loi et notamment à l’obligation de sécurité des données. En pratique, la protection des données ne pouvait dépendre du seul service juridique. A partir de ce moment, la fonction a commencé à être portée par des profils plus techniques parfois en charge de la sécurité (RSSI) mais plus souvent par des DSI.
Avec le GDPR, s’ouvre une nouvelle ère. Toute décision importante relatives aux traitements de données personnelles doit impliquer le Data Protection Officer (DPO); Ce dernier doit avoir le soutien de la direction et être systématiquement impliqué dans les projets par le senior et middle management. Le G29 précise que le DPO doit être vu comme un « partenaire de discussion ».
Le nouveau règlement a trois particularités.
Il aborde la protection des données personnelles sous un angle plus transversal que celui sous lequel il était traité par la directive. Ensuite il responsabilise les organisations sur les épaules desquelles reposera désormais l’obligation de démontrer la conformité. Enfin, le règlement suit un seul et même fil conducteur, à savoir la prise en compte des risques pour les droits et libertés des personnes.
Les organisations devront mettre en place des mesures techniques et organisationnelles, être capable démontrer leur conformité et de prouver l’efficacité des mesures mises en place.
La question se pose donc au sein des organisations de savoir quel service doit être en charge de la protection des données, quel doit être le profil du DPO (délégué à la protection des données) et à qui doit-il être rattaché ? en pratique et de manière opérationnelle, quelle organisation mettre en place au sein d’un groupe, pour être à même de remplir l’obligation d’ « accountability », de respecter le « Privacy by design », de mener des analyses d’impacts, de respecter le droit à l’oubli, de notifier les failles de sécurité ou d’encadrer les sous-traitants par exemple?
Le DPO est la pierre angulaire du principe d’« accountability »
Afin d’assister le responsable de traitement ou le sous-traitant dans ses tâches et d’implémenter les principes de protection des données dans l’organisation, le règlement prévoit la possibilité de désigner d’un Délégué à la Protection des Données (DPO), cette désignation étant obligatoire dans certains cas[1].
Dans ses lignes directrices datées du 13 décembre 2016, le groupe de travail réunissant les CNIL européennes encourage la désignation d’un Délégué à la Protection des Données, y compris dans les cas où la désignation d’un DPO n’est pas obligatoire.
Le G29 invite notamment les organisations à recourir aux services de consultants spécialisés en protection des données. De même, il recommande la désignation obligatoire d’un Délégué à la Protection des Données pour les organisations exerçant une mission de service public.
Les CNIL européennes indiquent que le DPO devrait être obligatoire en cas de traitements de données de santé opérés par les hôpitaux, de traitements des transports publics, de géolocalisation des clients d’une chaine internationale à des fins statistiques, les traitements de données par une compagnie d’assurance ou par une banque, par les moteurs de recherche ou par les opérateurs télécom, mais aussi en cas traitement des opérateurs télécom, de retargeting,de profilage et de scoring à des fins d’évaluation des risques (ex. credit scoring, assurance premiums, prévention de la fraude, détection , détection du blanchiment d’argent); les applications mobiles sont aussi concernées quand elles traient des données de localisation des personnes pour les suivre; La désignation d’un Délégué à la protection des données devrait être obligatoire en cas de programmes de fidélité, de publicité comportementale, de traitements de données par les applications santé et de bien être des utilisateurs ou par les objets connectés.
Le G29 précise qu’en matière de gouvernance, l’information et la consultation du délégué à la Protection des Données en cas d’études d’impacts, devrait faire l’objet d’une procédure standardisée ; cela permettra aux organisations de démontrer leur conformité au règlement en garantissant une approche « Privacy by design ».
Quel doit être le profil du DPO ?
Il devra être intègre et faire preuve d’un haut niveau d’éthique professionnelle ; il devra aussi savoir communiquer dans la langue utilisée par les personnes concernées et par l’autorité de protection des données. Il devra connaître de manière approfondie, la réglementation nationale et le règlement européen
Le niveau d’expertise n’est pas clairement déterminé mais il devra être en adéquation avec la sensibilité, la complexité et la quantité de données traitées par l’organisation comme de flux en dehors de l’UE.
La fonction pourra être portée par une équipe de personnes compétentes.
Plus que 500 jours ….pour s’organiser et transformer l’organisation
Le groupe de travail des autorités de protection des données précise qu’il reviendra au DPO d’avoir une approche pragmatique et sélective afin de consacrer en priorité ses efforts et ses actions aux traitement présentant des risques élevés pour les personnes.
Une raison supplémentaire, s’il en fallait, pour s’adresser à des professionnels de la protection des données et de la transformation de l’entreprise.
[1] Traitement par une organisation publique ou régie par le droit public ou traitement automatisé d’évaluation des personnes à grande échelle ou traitement de catégories particulières de données à grande échelle.
