SlideShare une entreprise Scribd logo
1  sur  13
PROTECTION ET MANAGEMENT DES DONNÉES À
CARACTÈRE PERSONNEL
PLAN DE PRÉSENTATION
DPOComment être un bon Data Protection Officer,
acteur clé de la protection des données ?
1. L’arrivée du DPO
• « DPO wanted » : quel profil ?
• Désignation du DPO
• Statut et moyens du DPO
2. Les missions du DPO
• Missions légales
• Missions concrètes
3. Le départ du DPO : intouchable ?
AVANT DE COMMENCER | Définitions clés
Donnée à caractère personnel (DCP)
Toute information permettant d’identifier directement ou
indirectement une personne physique (nom, coordonnées, n° de
contrat, plaque d’immatriculation,…).
Traitement de DCP
Toute opération effectuée sur des DCP (consultation, collecte,
modification, suppression,…).
Responsable de traitement (RT)
Entreprise / organisme / autorité / personne physique
professionnelle qui détermine les finalités (le pourquoi) et les
moyens (le comment) du traitement.
Sous-traitant (ST) :
Entreprise / organisme / autorité / personne physique
professionnelle qui traite des DCP pour le compte du RT.
Loi 78 et RGPD imprécis
• Loi 78 : qualifications requises pour exercer ses missions ;
• RGPD : profil adapté à la sensibilité, à la complexité et à la quantité de
données qu’un organisme traite.
Doctrine CNIL et G29
• Compétences variées et adaptées à l’entreprise ;
• Profil juridique + informatique + nouvelles technologies + domaine
d’activité du responsable de traitement ;
• Haut niveau d’intégrité et d’éthique professionnelle ;
• Aptitude à communiquer efficacement et à exercer ses fonctions et
missions en toute indépendance.
L’ARRIVEE DU DPO | « DPO wanted » : quel profil ?
=
PAS DE
PROFIL
TYPE
GESTIONNAIRE
DE PROJETS
TOUCHE À TOUT
L’ARRIVEE DU DPO | « DPO wanted » : quel profil ?
Différences entre CIL et DPO
CIL peut avoir le profil ≠ DPO doit avoir le profil
DPO doit se former continuellement
DPO = désignation étendue uniquement
Place centrale du DPO dans le RGPD
• La désignation d’un DPO est un moyen d’attester de la conformité d’un
organisme au RGPD (considérant 77) ;
• Le principe devient la désignation d’un DPO (article 37).
3 cas de désignation obligatoire
• Le RT est une autorité ou un organisme public ;
• Les activités de base du RT le conduisent à réaliser un suivi régulier et
systématique des personnes à grande échelle ;
• Les activités de base du RT le conduisent à traiter à grande échelle des
données dites « particulières » ou relatives à des condamnations pénales et
infractions.
L’ARRIVEE DU DPO | Désignation du DPO
Houston, we have a problem!
Activité de base ? Suivi régulier ? Grande échelle ? ...
Le G29 à la rescousse du RGPD
Guidelines DPO adoptées 05.04.17 : goo.gl/2CjmZM
• « Autorité publique ou organisme public » :
• Autorités nationales, régionales et locales ;
• + Définition législation nationale applicable ;
• ≠ Personnes physiques ou morales relevant du droit privé exerçant une mission
ou autorité publique.
• « Activités de base » :
• Les principales activités nécessaires pour atteindre les objectifs du responsable
de traitement ou du sous-traitant ;
• + Activités où le traitement des données constitue une partie inextricable de
l’activité du responsable de traitement ou du sous-traitant. Exemple : hôpital =
prodigue des soins + traitement incontournable de dossiers médicaux.
• Traitement « à grande échelle » : faisceau d’indices
• Le nombre de personnes concernées - soit en tant que nombre spécifique, soit
en proportion de la population concernée ;
• Le volume de données et/ou le périmètre des différents éléments de données en
cours de traitement ;
• La durée, ou la permanence, de l’activité de traitement de données ;
• L’étendue géographique de l’activité de traitement.
L’ARRIVEE DU DPO | Désignation du DPO
Le G29 à la rescousse du RGPD
• « Suivi régulier et systématique » :
• Toutes les formes de suivi et de profilage sur Internet, y compris aux fins de la
publicité comportementale ;
• Récurrent ou répété à des moments fixes ; constant ou se déroulant
périodiquement ≠ one shot = idée d’automatisation.
Exemples dans lesquels un DPO sera obligatoire :
• Opérateur téléphonique ;
• Banque / Assurance ;
• Régie de transport public ;
• Editeur d’applications mobiles grand public avec géolocalisation obligatoire ;
• Toutes les grandes enseignes proposant des programmes fidélité ;
• Enseignes nationales dans la domotique ;
• Agence publicitaire web (si grande échelle) ;
• Sous-traitant gestionnaire du plan de formation pour une entreprise
internationale ;
• Gestionnaire de pilulier électronique (si à grande échelle) ;
• …
L’ARRIVEE DU DPO | Désignation du DPO
Similitudes CIL et DPO
• Indépendance : rattachement Direction + liberté organisationnelle et
décisionnelle ;
• Absence de conflits d’intérêts : ne pas être juge et partie ;
• Pas un salarié protégé : mais protégé des sanctions de l’employeur motivées
par l’exercice de sa mission par le CIL/DPO (sauf faute) ;
• Aucun risque de « sanction CNIL » : seul le RT doit assumer, sauf complicité.
Différences CIL et DPO
• « Fourniture d’éléments » v.s. « ressources nécessaires » ;
• DPO = secret professionnel ou obligation de confidentialité.
L’ARRIVEE DU DPO | Statut et moyens du DPO
Missions légales
• CIL = tient le registre + veille au respect de la loi de 78 via information,
consultation, recommandations, gestion des droits des personnes ;
• DPO = informer, conseiller, contrôler, coopérer => il ne fait rien directement.
Il coordonne la conformité au RGPD. Remember : gestionnaire de projets
touche à tout
Missions concrètes
Voir webinar programme conformité RGPD : goo.gl/ok382t
Le DPO est désigné : lettre mission et engagement confidentialité signés ;
1. Faire une première évaluation macroscopique de la conformité de
l’entreprise ;
2. Négocier les ressources avec la Direction (temps, budget, outils,…) ;
3. Mettre en place son pilotage ;
4. Acter auprès des IRP et du personnel (voire partenaires et ST) ;
5. Identifier les relais et les former ;
6. Sensibiliser l’ensemble du personnel.
LES MISSIONS DU DPO
Missions concrètes
7. Mettre en place l’« environnement RGPD » avec des process ;
8. Créer ou mettre à jour les outils de travail du DPO (cartographies des
applications, des traitements, des flux de données, des sites internet,…) ;
9. Auditer et dresser liste des écarts + plan d’actions (avec priorisation) ;
10. Faire arbitrer et acter le plan d’actions par la Direction ;
11. Diffuser, suivre et accompagner la mise en œuvre du plan d’actions ;
12. Piloter le registre des traitements ;
13. Faire un bilan de son action en fin d’exercice ;
14. Voir 1.
LES MISSIONS DU DPO
Départ du CIL
• Volontaire ou « positif » : notification de la CNIL
• Pour manquement par le RT : respect « droit de la défense » + avis CNIL ;
• Pour manquement par la CNIL : respect « droit de la défense » ;
+ Désignation d’un nouveau CIL ou non.
Départ du DPO
Ce qui est interdit
Ce qui est autorisé
= Attente loi « Informatique et Libertés v3 » / Probablement très proche CIL
LE DEPART DU DPO | Intouchable ?
hank
http://www.oxalia-technology.com
/data-protection
www.linkedin.com/in
/andreamartelletti/
amartelletti
@oxalia-technology.com
www.twitter.com/
oxaliadata
Oxalia Technology Data
Protection
ou!

Contenu connexe

En vedette

Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...ASIP Santé
 
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
Lexing - Belgium
 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxYves Gattegno
 
Présentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionPrésentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionBusiness & Decision
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésHatime Araki
 
EY’s Petroleum Society Maturity Index
EY’s Petroleum Society Maturity IndexEY’s Petroleum Society Maturity Index
EY’s Petroleum Society Maturity IndexEY
 
La fonction fiscale sera 2.0 ou ne sera pas
La fonction fiscale sera 2.0 ou ne sera pasLa fonction fiscale sera 2.0 ou ne sera pas
La fonction fiscale sera 2.0 ou ne sera pasEY
 
Industrie du futur, le renouveau de l'industrie française
Industrie du futur, le renouveau de l'industrie françaiseIndustrie du futur, le renouveau de l'industrie française
Industrie du futur, le renouveau de l'industrie françaiseEY
 
EY Jobstudie 2017
EY Jobstudie 2017EY Jobstudie 2017
EY Jobstudie 2017EY
 
How to properly fail your startup (in 10 steps)
How to properly fail your startup (in 10 steps)How to properly fail your startup (in 10 steps)
How to properly fail your startup (in 10 steps)Boris Golden
 
Guide de financement de la startup innovante édition 2017
Guide de financement de la startup innovante édition 2017Guide de financement de la startup innovante édition 2017
Guide de financement de la startup innovante édition 2017Mondher Khanfir
 
Trendbarometer Immobilien-Investmentmarkt 2017
Trendbarometer Immobilien-Investmentmarkt 2017Trendbarometer Immobilien-Investmentmarkt 2017
Trendbarometer Immobilien-Investmentmarkt 2017EY
 
Digidata millésime 2016 : les 182 DATA sur la transformation digitale qui ont...
Digidata millésime 2016 : les 182 DATA sur la transformation digitale qui ont...Digidata millésime 2016 : les 182 DATA sur la transformation digitale qui ont...
Digidata millésime 2016 : les 182 DATA sur la transformation digitale qui ont...Digitools.io
 
DigiData Octobre 2016
DigiData Octobre 2016DigiData Octobre 2016
DigiData Octobre 2016Digitools.io
 
Data forum 2016 - Presentation Micropole - Les tendances Data 2017
Data forum 2016 - Presentation Micropole - Les tendances Data 2017Data forum 2016 - Presentation Micropole - Les tendances Data 2017
Data forum 2016 - Presentation Micropole - Les tendances Data 2017Micropole Group
 
Health 4.0 wird unsere Welt verändern, die Art, wie wir denken und leben
Health 4.0 wird unsere Welt verändern, die Art, wie wir denken und lebenHealth 4.0 wird unsere Welt verändern, die Art, wie wir denken und leben
Health 4.0 wird unsere Welt verändern, die Art, wie wir denken und lebenEY
 

En vedette (19)

Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
 
Le numéro 42-43, printemps-été 2017
Le numéro 42-43, printemps-été 2017Le numéro 42-43, printemps-été 2017
Le numéro 42-43, printemps-été 2017
 
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données
earlegal #5 - Radiographie du délégué 
à la protection des données

earlegal #5 - Radiographie du délégué 
à la protection des données

 
GDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico LégauxGDPR - RGPD - Aspects Technico Légaux
GDPR - RGPD - Aspects Technico Légaux
 
Présentation GDPR - Business & Decision
Présentation GDPR - Business & DecisionPrésentation GDPR - Business & Decision
Présentation GDPR - Business & Decision
 
RGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunitésRGPD : Enjeux, Impacts et opportunités
RGPD : Enjeux, Impacts et opportunités
 
EY’s Petroleum Society Maturity Index
EY’s Petroleum Society Maturity IndexEY’s Petroleum Society Maturity Index
EY’s Petroleum Society Maturity Index
 
La fonction fiscale sera 2.0 ou ne sera pas
La fonction fiscale sera 2.0 ou ne sera pasLa fonction fiscale sera 2.0 ou ne sera pas
La fonction fiscale sera 2.0 ou ne sera pas
 
Industrie du futur, le renouveau de l'industrie française
Industrie du futur, le renouveau de l'industrie françaiseIndustrie du futur, le renouveau de l'industrie française
Industrie du futur, le renouveau de l'industrie française
 
EY Jobstudie 2017
EY Jobstudie 2017EY Jobstudie 2017
EY Jobstudie 2017
 
How to properly fail your startup (in 10 steps)
How to properly fail your startup (in 10 steps)How to properly fail your startup (in 10 steps)
How to properly fail your startup (in 10 steps)
 
Guide de financement de la startup innovante édition 2017
Guide de financement de la startup innovante édition 2017Guide de financement de la startup innovante édition 2017
Guide de financement de la startup innovante édition 2017
 
Trendbarometer Immobilien-Investmentmarkt 2017
Trendbarometer Immobilien-Investmentmarkt 2017Trendbarometer Immobilien-Investmentmarkt 2017
Trendbarometer Immobilien-Investmentmarkt 2017
 
Digidata millésime 2016 : les 182 DATA sur la transformation digitale qui ont...
Digidata millésime 2016 : les 182 DATA sur la transformation digitale qui ont...Digidata millésime 2016 : les 182 DATA sur la transformation digitale qui ont...
Digidata millésime 2016 : les 182 DATA sur la transformation digitale qui ont...
 
DigiData Octobre 2016
DigiData Octobre 2016DigiData Octobre 2016
DigiData Octobre 2016
 
Data forum 2016 - Presentation Micropole - Les tendances Data 2017
Data forum 2016 - Presentation Micropole - Les tendances Data 2017Data forum 2016 - Presentation Micropole - Les tendances Data 2017
Data forum 2016 - Presentation Micropole - Les tendances Data 2017
 
Onopia - 55 Questions pour imaginer votre Business Model
Onopia - 55 Questions pour imaginer votre Business ModelOnopia - 55 Questions pour imaginer votre Business Model
Onopia - 55 Questions pour imaginer votre Business Model
 
Health 4.0 wird unsere Welt verändern, die Art, wie wir denken und leben
Health 4.0 wird unsere Welt verändern, die Art, wie wir denken und lebenHealth 4.0 wird unsere Welt verändern, die Art, wie wir denken und leben
Health 4.0 wird unsere Welt verändern, die Art, wie wir denken und leben
 

Comment être un bon Data Protection Officer, acteur clé de la protection des données

  • 1. PROTECTION ET MANAGEMENT DES DONNÉES À CARACTÈRE PERSONNEL
  • 2. PLAN DE PRÉSENTATION DPOComment être un bon Data Protection Officer, acteur clé de la protection des données ? 1. L’arrivée du DPO • « DPO wanted » : quel profil ? • Désignation du DPO • Statut et moyens du DPO 2. Les missions du DPO • Missions légales • Missions concrètes 3. Le départ du DPO : intouchable ?
  • 3. AVANT DE COMMENCER | Définitions clés Donnée à caractère personnel (DCP) Toute information permettant d’identifier directement ou indirectement une personne physique (nom, coordonnées, n° de contrat, plaque d’immatriculation,…). Traitement de DCP Toute opération effectuée sur des DCP (consultation, collecte, modification, suppression,…). Responsable de traitement (RT) Entreprise / organisme / autorité / personne physique professionnelle qui détermine les finalités (le pourquoi) et les moyens (le comment) du traitement. Sous-traitant (ST) : Entreprise / organisme / autorité / personne physique professionnelle qui traite des DCP pour le compte du RT.
  • 4. Loi 78 et RGPD imprécis • Loi 78 : qualifications requises pour exercer ses missions ; • RGPD : profil adapté à la sensibilité, à la complexité et à la quantité de données qu’un organisme traite. Doctrine CNIL et G29 • Compétences variées et adaptées à l’entreprise ; • Profil juridique + informatique + nouvelles technologies + domaine d’activité du responsable de traitement ; • Haut niveau d’intégrité et d’éthique professionnelle ; • Aptitude à communiquer efficacement et à exercer ses fonctions et missions en toute indépendance. L’ARRIVEE DU DPO | « DPO wanted » : quel profil ? = PAS DE PROFIL TYPE GESTIONNAIRE DE PROJETS TOUCHE À TOUT
  • 5. L’ARRIVEE DU DPO | « DPO wanted » : quel profil ? Différences entre CIL et DPO CIL peut avoir le profil ≠ DPO doit avoir le profil DPO doit se former continuellement DPO = désignation étendue uniquement
  • 6. Place centrale du DPO dans le RGPD • La désignation d’un DPO est un moyen d’attester de la conformité d’un organisme au RGPD (considérant 77) ; • Le principe devient la désignation d’un DPO (article 37). 3 cas de désignation obligatoire • Le RT est une autorité ou un organisme public ; • Les activités de base du RT le conduisent à réaliser un suivi régulier et systématique des personnes à grande échelle ; • Les activités de base du RT le conduisent à traiter à grande échelle des données dites « particulières » ou relatives à des condamnations pénales et infractions. L’ARRIVEE DU DPO | Désignation du DPO Houston, we have a problem! Activité de base ? Suivi régulier ? Grande échelle ? ...
  • 7. Le G29 à la rescousse du RGPD Guidelines DPO adoptées 05.04.17 : goo.gl/2CjmZM • « Autorité publique ou organisme public » : • Autorités nationales, régionales et locales ; • + Définition législation nationale applicable ; • ≠ Personnes physiques ou morales relevant du droit privé exerçant une mission ou autorité publique. • « Activités de base » : • Les principales activités nécessaires pour atteindre les objectifs du responsable de traitement ou du sous-traitant ; • + Activités où le traitement des données constitue une partie inextricable de l’activité du responsable de traitement ou du sous-traitant. Exemple : hôpital = prodigue des soins + traitement incontournable de dossiers médicaux. • Traitement « à grande échelle » : faisceau d’indices • Le nombre de personnes concernées - soit en tant que nombre spécifique, soit en proportion de la population concernée ; • Le volume de données et/ou le périmètre des différents éléments de données en cours de traitement ; • La durée, ou la permanence, de l’activité de traitement de données ; • L’étendue géographique de l’activité de traitement. L’ARRIVEE DU DPO | Désignation du DPO
  • 8. Le G29 à la rescousse du RGPD • « Suivi régulier et systématique » : • Toutes les formes de suivi et de profilage sur Internet, y compris aux fins de la publicité comportementale ; • Récurrent ou répété à des moments fixes ; constant ou se déroulant périodiquement ≠ one shot = idée d’automatisation. Exemples dans lesquels un DPO sera obligatoire : • Opérateur téléphonique ; • Banque / Assurance ; • Régie de transport public ; • Editeur d’applications mobiles grand public avec géolocalisation obligatoire ; • Toutes les grandes enseignes proposant des programmes fidélité ; • Enseignes nationales dans la domotique ; • Agence publicitaire web (si grande échelle) ; • Sous-traitant gestionnaire du plan de formation pour une entreprise internationale ; • Gestionnaire de pilulier électronique (si à grande échelle) ; • … L’ARRIVEE DU DPO | Désignation du DPO
  • 9. Similitudes CIL et DPO • Indépendance : rattachement Direction + liberté organisationnelle et décisionnelle ; • Absence de conflits d’intérêts : ne pas être juge et partie ; • Pas un salarié protégé : mais protégé des sanctions de l’employeur motivées par l’exercice de sa mission par le CIL/DPO (sauf faute) ; • Aucun risque de « sanction CNIL » : seul le RT doit assumer, sauf complicité. Différences CIL et DPO • « Fourniture d’éléments » v.s. « ressources nécessaires » ; • DPO = secret professionnel ou obligation de confidentialité. L’ARRIVEE DU DPO | Statut et moyens du DPO
  • 10. Missions légales • CIL = tient le registre + veille au respect de la loi de 78 via information, consultation, recommandations, gestion des droits des personnes ; • DPO = informer, conseiller, contrôler, coopérer => il ne fait rien directement. Il coordonne la conformité au RGPD. Remember : gestionnaire de projets touche à tout Missions concrètes Voir webinar programme conformité RGPD : goo.gl/ok382t Le DPO est désigné : lettre mission et engagement confidentialité signés ; 1. Faire une première évaluation macroscopique de la conformité de l’entreprise ; 2. Négocier les ressources avec la Direction (temps, budget, outils,…) ; 3. Mettre en place son pilotage ; 4. Acter auprès des IRP et du personnel (voire partenaires et ST) ; 5. Identifier les relais et les former ; 6. Sensibiliser l’ensemble du personnel. LES MISSIONS DU DPO
  • 11. Missions concrètes 7. Mettre en place l’« environnement RGPD » avec des process ; 8. Créer ou mettre à jour les outils de travail du DPO (cartographies des applications, des traitements, des flux de données, des sites internet,…) ; 9. Auditer et dresser liste des écarts + plan d’actions (avec priorisation) ; 10. Faire arbitrer et acter le plan d’actions par la Direction ; 11. Diffuser, suivre et accompagner la mise en œuvre du plan d’actions ; 12. Piloter le registre des traitements ; 13. Faire un bilan de son action en fin d’exercice ; 14. Voir 1. LES MISSIONS DU DPO
  • 12. Départ du CIL • Volontaire ou « positif » : notification de la CNIL • Pour manquement par le RT : respect « droit de la défense » + avis CNIL ; • Pour manquement par la CNIL : respect « droit de la défense » ; + Désignation d’un nouveau CIL ou non. Départ du DPO Ce qui est interdit Ce qui est autorisé = Attente loi « Informatique et Libertés v3 » / Probablement très proche CIL LE DEPART DU DPO | Intouchable ?