Support de notre webinar sur le DPO, visible en replay ici : https://goo.gl/ZpwWFA
Le Règlement Général relatif à la Protection des Données à caractère personnel (RGPD) a le vent en poupe depuis quelques mois.
Ce que vous savez :
- Il concerne toutes les entreprises traitant des données de personnes physiques – autant dire toutes les entreprises ;
- Il est déjà en vigueur et sera applicable dès le 25 mai 2018 : il a été adopté en 2016, aucun retour possible ;
- Le Data Protection Officer (DPO) est un acteur clé de la protection des données.
Ce que vous voulez savoir :
- Comment devient-on DPO ?
- Que doit-on faire lorsqu'on est DPO ?
- Comme ça se passe, le départ à la retraite du DPO ?
Et donc, au programme de ce webinar :
- L'arrivée du DPO : de la recherche de "l'élu" à sa désignation en passant par les moyens à mettre à sa disposition ;
- Les missions du DPO : quelles sont ses tâches et comment doit-il s'organiser pour les mener à bien ;
- Le départ du DPO : nul n'est irremplaçable!
2. PLAN DE PRÉSENTATION
DPOComment être un bon Data Protection Officer,
acteur clé de la protection des données ?
1. L’arrivée du DPO
• « DPO wanted » : quel profil ?
• Désignation du DPO
• Statut et moyens du DPO
2. Les missions du DPO
• Missions légales
• Missions concrètes
3. Le départ du DPO : intouchable ?
3. AVANT DE COMMENCER | Définitions clés
Donnée à caractère personnel (DCP)
Toute information permettant d’identifier directement ou
indirectement une personne physique (nom, coordonnées, n° de
contrat, plaque d’immatriculation,…).
Traitement de DCP
Toute opération effectuée sur des DCP (consultation, collecte,
modification, suppression,…).
Responsable de traitement (RT)
Entreprise / organisme / autorité / personne physique
professionnelle qui détermine les finalités (le pourquoi) et les
moyens (le comment) du traitement.
Sous-traitant (ST) :
Entreprise / organisme / autorité / personne physique
professionnelle qui traite des DCP pour le compte du RT.
4. Loi 78 et RGPD imprécis
• Loi 78 : qualifications requises pour exercer ses missions ;
• RGPD : profil adapté à la sensibilité, à la complexité et à la quantité de
données qu’un organisme traite.
Doctrine CNIL et G29
• Compétences variées et adaptées à l’entreprise ;
• Profil juridique + informatique + nouvelles technologies + domaine
d’activité du responsable de traitement ;
• Haut niveau d’intégrité et d’éthique professionnelle ;
• Aptitude à communiquer efficacement et à exercer ses fonctions et
missions en toute indépendance.
L’ARRIVEE DU DPO | « DPO wanted » : quel profil ?
=
PAS DE
PROFIL
TYPE
GESTIONNAIRE
DE PROJETS
TOUCHE À TOUT
5. L’ARRIVEE DU DPO | « DPO wanted » : quel profil ?
Différences entre CIL et DPO
CIL peut avoir le profil ≠ DPO doit avoir le profil
DPO doit se former continuellement
DPO = désignation étendue uniquement
6. Place centrale du DPO dans le RGPD
• La désignation d’un DPO est un moyen d’attester de la conformité d’un
organisme au RGPD (considérant 77) ;
• Le principe devient la désignation d’un DPO (article 37).
3 cas de désignation obligatoire
• Le RT est une autorité ou un organisme public ;
• Les activités de base du RT le conduisent à réaliser un suivi régulier et
systématique des personnes à grande échelle ;
• Les activités de base du RT le conduisent à traiter à grande échelle des
données dites « particulières » ou relatives à des condamnations pénales et
infractions.
L’ARRIVEE DU DPO | Désignation du DPO
Houston, we have a problem!
Activité de base ? Suivi régulier ? Grande échelle ? ...
7. Le G29 à la rescousse du RGPD
Guidelines DPO adoptées 05.04.17 : goo.gl/2CjmZM
• « Autorité publique ou organisme public » :
• Autorités nationales, régionales et locales ;
• + Définition législation nationale applicable ;
• ≠ Personnes physiques ou morales relevant du droit privé exerçant une mission
ou autorité publique.
• « Activités de base » :
• Les principales activités nécessaires pour atteindre les objectifs du responsable
de traitement ou du sous-traitant ;
• + Activités où le traitement des données constitue une partie inextricable de
l’activité du responsable de traitement ou du sous-traitant. Exemple : hôpital =
prodigue des soins + traitement incontournable de dossiers médicaux.
• Traitement « à grande échelle » : faisceau d’indices
• Le nombre de personnes concernées - soit en tant que nombre spécifique, soit
en proportion de la population concernée ;
• Le volume de données et/ou le périmètre des différents éléments de données en
cours de traitement ;
• La durée, ou la permanence, de l’activité de traitement de données ;
• L’étendue géographique de l’activité de traitement.
L’ARRIVEE DU DPO | Désignation du DPO
8. Le G29 à la rescousse du RGPD
• « Suivi régulier et systématique » :
• Toutes les formes de suivi et de profilage sur Internet, y compris aux fins de la
publicité comportementale ;
• Récurrent ou répété à des moments fixes ; constant ou se déroulant
périodiquement ≠ one shot = idée d’automatisation.
Exemples dans lesquels un DPO sera obligatoire :
• Opérateur téléphonique ;
• Banque / Assurance ;
• Régie de transport public ;
• Editeur d’applications mobiles grand public avec géolocalisation obligatoire ;
• Toutes les grandes enseignes proposant des programmes fidélité ;
• Enseignes nationales dans la domotique ;
• Agence publicitaire web (si grande échelle) ;
• Sous-traitant gestionnaire du plan de formation pour une entreprise
internationale ;
• Gestionnaire de pilulier électronique (si à grande échelle) ;
• …
L’ARRIVEE DU DPO | Désignation du DPO
9. Similitudes CIL et DPO
• Indépendance : rattachement Direction + liberté organisationnelle et
décisionnelle ;
• Absence de conflits d’intérêts : ne pas être juge et partie ;
• Pas un salarié protégé : mais protégé des sanctions de l’employeur motivées
par l’exercice de sa mission par le CIL/DPO (sauf faute) ;
• Aucun risque de « sanction CNIL » : seul le RT doit assumer, sauf complicité.
Différences CIL et DPO
• « Fourniture d’éléments » v.s. « ressources nécessaires » ;
• DPO = secret professionnel ou obligation de confidentialité.
L’ARRIVEE DU DPO | Statut et moyens du DPO
10. Missions légales
• CIL = tient le registre + veille au respect de la loi de 78 via information,
consultation, recommandations, gestion des droits des personnes ;
• DPO = informer, conseiller, contrôler, coopérer => il ne fait rien directement.
Il coordonne la conformité au RGPD. Remember : gestionnaire de projets
touche à tout
Missions concrètes
Voir webinar programme conformité RGPD : goo.gl/ok382t
Le DPO est désigné : lettre mission et engagement confidentialité signés ;
1. Faire une première évaluation macroscopique de la conformité de
l’entreprise ;
2. Négocier les ressources avec la Direction (temps, budget, outils,…) ;
3. Mettre en place son pilotage ;
4. Acter auprès des IRP et du personnel (voire partenaires et ST) ;
5. Identifier les relais et les former ;
6. Sensibiliser l’ensemble du personnel.
LES MISSIONS DU DPO
11. Missions concrètes
7. Mettre en place l’« environnement RGPD » avec des process ;
8. Créer ou mettre à jour les outils de travail du DPO (cartographies des
applications, des traitements, des flux de données, des sites internet,…) ;
9. Auditer et dresser liste des écarts + plan d’actions (avec priorisation) ;
10. Faire arbitrer et acter le plan d’actions par la Direction ;
11. Diffuser, suivre et accompagner la mise en œuvre du plan d’actions ;
12. Piloter le registre des traitements ;
13. Faire un bilan de son action en fin d’exercice ;
14. Voir 1.
LES MISSIONS DU DPO
12. Départ du CIL
• Volontaire ou « positif » : notification de la CNIL
• Pour manquement par le RT : respect « droit de la défense » + avis CNIL ;
• Pour manquement par la CNIL : respect « droit de la défense » ;
+ Désignation d’un nouveau CIL ou non.
Départ du DPO
Ce qui est interdit
Ce qui est autorisé
= Attente loi « Informatique et Libertés v3 » / Probablement très proche CIL
LE DEPART DU DPO | Intouchable ?